Categories

A sample text widget

Etiam pulvinar consectetur dolor sed malesuada. Ut convallis euismod dolor nec pretium. Nunc ut tristique massa.

Nam sodales mi vitae dolor ullamcorper et vulputate enim accumsan. Morbi orci magna, tincidunt vitae molestie nec, molestie at mi. Nulla nulla lorem, suscipit in posuere in, interdum non magna.

SQL Injection復興之路 黑客一次攻擊、四大回報

SQL Injection復興之路 黑客一次攻擊、四大回報 網絡連線速度愈來愈快,而存取網站的設備亦變得更大眾化及相宜,加上地域性問題,網上業務擁有無限商機;這亦為黑客帶來了全新的業務模式,就是先前曾介紹過的「攻擊即服務 (Attack As a Services – AAaS.)」。這些攻擊業務非常多元化,由最本的垃圾廣告散佈到大型 DDoS 攻擊。這些服務供應商擁有完善的行業生態系統,例如地下黑市、黑客工具生命週期管理,更甚者亦提供 SLA (Service Level Agreement),保證攻擊服務不中斷。 在這裡向大家分享一下最近有復興跡象的黑客攻擊業務,那就是 SQL Injection。以往 SQL Injection曾經是很多獨立黑客的攻擊手段,直到現時仍是;不過以服務形式提供的卻不多,事關 SQL Injection並不能像 DDoS 般幾乎可全自動化,因為共需通過於輸入欄位輸入一些能誤導語法執行的語法,而這往往需要與時並進,亦即是說需要黑客親自臨場指揮。 由於此攻擊自動化效果差,加上 SQL Injection 的最大目的是偷取目標網站資料為主,目標價值愈高,收費自然愈昂貴;由於利潤大,進行 SQL Injection 的收入提高;加上黑客更可藉由替客户進行 SQL Injection 的期間同時將所收集到的資料進行複制,並率先將資料賣出,一方便賺取金主的資金,同時更可取得有價值資料,更甚者亦可比金主快一步,將資料以合法手段銷售出去!例如替客户發送 EDM,又或者直接建立一個專門銷售電郵名單的網站(外國有很多這類網站),試問如此一石四鳥的賺錢方法,黑客們又怎捨得忘記 SQL Injection 呢? 甚麼是 SQL Injection? 那究竟甚麼是SQL Injection 呢?以下將會不提及程式部份簡單介入:首先就以購物平台作例子,當用户在進行搜尋工作時(或一些輸入文字的動作)時,如果你希望的話,所輸入的資料可成為 SQL 搜尋語法,流程如下: 1. 用户輸入欄位輸入搜尋關鍵字,例如是會員名稱。 2. 按下確認後,資料會先比對一些程式預設的條件,如果條件符合便會進行下一步驟。最常見的就是比對用户輸入的資料格式是否正確。 3. 接著用户所輸入的將會被執行。 關鍵之處在步驟 2。有些較舊式的網上平台,在編程時可能仍未有現在如此複雜的網頁語言/或編寫時仍未有某些新式的攻擊方法,因此在禁止用户輸入資料的條件上,可能仍存在一些編程上的漏洞,以致黑客能於輸入欄位輸入了一些符號,而這些符號將能直接影響數據庫的搜尋動作。 […]

合法運用黑客方式、徹底隱藏上網蹤跡!

現今我們瀏覽網頁或進行各種需要透過網絡進行的活動時,往往都會不經意地留下了很多個人的上網蹤跡,包括由服務供應商一方提供,用以收集用户瀏覽來源資料的平台,如常見的聯播廣告便是其中一種收集瀏覽用户 IP 的方法;另外,當你需要進行一些不希望被第三方監控的活動時,例如於國內進行翻牆(並不時常能夠成功)或於公司網絡環境下避過公司的監控(需視乎公司本身的情況),這時候或者能通過使用像 Tor 這種方式以避開留下瀏覽蹤跡。(下載網址:https://www.torproject.org) TorBrowser 是通過一種稱為 Tor Network 的網絡制式,從而實現隱藏身份的目的。簡單來說就是當你身處於香港,透過 TorBrowser 瀏覽網頁的話,TorBrowser 並不會像現時我們常使用的瀏覽器一樣,將你的請求直接地傳到目標網站,從而載入網頁。TorBrowser 的做法會先把你的請求隨機傳送到位於世界各地的 Tor 點,這些 Tor 點是由 Tor 用户熱心分享的。當你開啟了 TorBrowser 瀏覽網頁時,首先你會先進入第一個點的 Tor 網絡位置(暫稱為位置A),然後該請求再會自動來到另一個位置(位置 B),如是者經過十數次轉接過程後,最後才會隨機地利用匿名的 Tor 點,將請求發送到目標網站。 由於用户的請求是隨機地發送出去的,因此代表了用户的請求並非直接從用户的電腦發放到目標位置,而是經過十分複雜的路徑才傳到目標位置,這種多重代理的技術特性,令有心進行監控的一方只會收到一個由 Tor 節點所發出的請求,而並非始作俑者,令其無法進行監控工作;而且即使是跨國的執法機構,亦難以逐層跨地域、國度地追兇;加上 Tor 本身在數據傳送時已為傳送的過程進行加密,因此採用 Tor 技術已令世界大型的執法機構感到頭痛不已;有傳就連 FBI 等亦只有以非法的手段,例如在未經同意下於不同的網站植入木馬以圖取得正在使用 Tor 網絡的用户資料,從而採用另一些方法以監控這些使用 Tor Network 的用户。 不過這亦是徒勞無功的,事關用户人數多多,而且 Tor 這種技術本身由美國軍方贊助開發的,使用 Tor 技術並沒有犯法;犯法的往往是採用了 Tor 匿名的特性而進行入侵或攻擊行為的「有心人」,這些「有心人」才真正的犯了法。所以,假如大家能好好善用 Tor 技術的話,便可真正的將種種監控排除,令進行各種網絡活動時更自由。 要如何使用 Tor Network ? 以往要使用此技術並不簡單,你至少需要進行深奧的設定工作;而有了 […]

網上驚現密碼搜尋引擊、私密帳戶一分鐘擊破!

網上驚現密碼搜尋引擊、私密帳戶一分鐘擊破! 自從雲端服務興起以後,大家擁有的密碼可能多得連自己都記不起,於是很多人為了方便使用,便採用了一些簡單直接的字串組合成密碼,然而這樣很容易會被擊破,安全風險亦變會比起採用複雜字串組合而成的密碼高得多。如果你使用了簡單的組合組成密碼,那黑客要攻破你的帳户可能只需很短時間,事關黑客可通過採用所謂的密碼爆破器,並通過載入不同的文字來源,例如常用的詞典作為「撞密碼」動作的背後字串資料庫,然後通過軟件便可針對目標網站進行「試撞」。一般來說,簡單的密碼不用十分鐘即可攻破。 那些密碼最多人使用? 早前有黑客便「好心地」利用多種手法從互聯網之中取得多達 200 萬個用户資料,他們針對用户使用的密碼進行統計,結果發現在 200 多萬個「取得」的帳户資料之中,仍有數以萬計的用户採用「123456」作為密碼,而「123456789 」及「1234」也相當常見,試問面對如此「吸引」的帳户,黑客又怎會放過? 除了採用最傳統的字典式「撞密碼」之外,近期網絡上興起了一系列的「密碼搜尋引擊」。這類引擊的主要作用就是讓用户輕易地通過搜尋關鍵字從而獲相關系統的登入密碼。我們不會公開這些平台的名稱及連結;不過為令大家了解到現時獲取不同目標帳户的密碼方式,以下會說明一下這些平台的操作方法及背後的一些資料。 輸入目標網址、帳户資料一鍵獲取 首先這類型的平台與大家常用的搜尋引撃並沒有太大分別,都是提供直接的介面讓你即時搜尋目標帳户資料;而為了方便大家搜尋,部份平台更率先支援以「目標網站網址」作為搜尋條件,從而讓用户極速搜尋出屬於該網站的帳户資料。 輸入目標人物電話、姓名即時搜尋帳户資料 上述方法只針對目標網址,然而假如我們希望搜尋指定人物的帳户資料呢?簡單。有平台通過特殊方法取得千萬數據,更提供詳盡的搜尋條件分類,包括支援輸入目標人物的姓名、電郵、電話等,完成後一按,所有符合搜尋條件的帳户資料即時盡現。 分門別類、以設備類型獲取機密資訊 最後一種方法更恐佈,現時有些黑客專用的搜尋引撃能提供十分詳細的設備分類,當選取了一項設備例如想 Hack 入他人家中的 IP CAM 的話,這些搜尋引撃提供了以「入侵媒介」、「目標設備品牌」等進行分類,選好後更會結合不同黑客過往的成功攻擊方式及案例、注意地方等,從而令你輕易的一鍵 Hack 入他人的 IT 設備。 如何建立安全密碼? 要避免自己的帳户資料被加進這些黑客搜尋引撃之內,大家需要注意每次登入時所使用時網絡安全、電腦安全,如果本身採用公用網絡以及電腦的話,建議不要進行任何登入行為,事關你不知道公用網絡、電腦的背後有甚麼人正在使用或收集資料。 另外在建立帳户密碼時,亦應採用一些組合較複雜的字串;我們建議密碼的組合應該要同時擁有數字、大小英文字、符號,而且在長度方面亦必須多於 8 個位,這樣要被攻破亦並非數十年可完成的事情,對於傳統的爆破式攻擊方法會有很強的防禦作用。 [Content Contribution: HKITBlog]

甚麼是 XSS

簡介黑客常用攻擊技倆 現時甚麼都講互動性,而互動性帶來的安全風險亦隨之提升,因為擁有互動性代表了網站之中已擁有「入口」;所謂的入口就是一些可讓用户輸入文字的地方,例如搜尋欄位、留言位置更甚者是登入位置等等,通過好好利用這些「入口」,黑客便可以作所謂的 XSS(Cross Site Script)攻擊,並從中植入各種惡意指令,例如引導用户至虛假頁面,並從中偷取用户的個人資料。 為甚麼要 XSS? XSS 很多時都會被人忽略,因為它本身甚小為網站帶來毀滅性攻擊,而且很多人認為這技術歷史悠久,對現今系統影響不大,所以黑客採用 XSS 技術偷取資料的成功率較高,因此自然這一種遠古的方式仍然被廣泛採用;不過大家不知的是黑客採用 XSS 已不是針對系統進行破壞,很多時目的在於偷取用户資料;幸好現時搜尋引擊及瀏灠器已加入惡意網站偵測技術,當偵測到惡意網站時會阻止用户進入,但這些防禦機制也並非 100% 準確,很多時都會有遺漏情況,這並非瀏灠器及搜尋引擊的錯,這是因為黑客的欺騙手段太厲害所致。 那些地方最有機會被植入? 其實網站之中的輸入欄位,例如搜尋欄位、留言位置和討論區等都是植入 XSS 代碼的最佳位置;除此之外亦需特別留意採用 Cookie 等技術暫存用户登入資訊,再把資訊傳回數據庫這個過程;或信用卡與銀行機構連線的過程之中的「Redirect」頁面等。 如何入侵? 測試網站漏洞 – 我們不會在此示範如何入侵,只可以簡單說說。其實 XSS 的目的是製造一個引導用户進入虛假頁面的途徑,所以攻擊的方式是先測試網站的程式是否存在漏洞,通過於網站之中的輸入欄位即可進行測試;例如最簡單嘗試令第三方網站更改背景顏色又或者彈出提示 Alert,假如成功亦即代表該網站極大機會存在編程上的問題,而通過這些問題便可作進一步的植入工作。 一般測試會用 JavaScript 代碼,主要測試開發者在編寫程式時有否對程式加入一定的防禦機制,例如有否加入防止用户輸入特殊字元,如 >” 等標籤的前後開關部份,這時候只需於留言位置輸入代碼,再替大意的開發者於內容加入 “>”便可輕易於網站內植入惡意代碼,並可直接讓用户進入與真實網站相同的虛假頁面,藉以誘使用户輸入他們的個人資料。 XSS 玩法一植入木馬 – 只需找出安全漏洞,即可在特定位置(加入一些代碼,而這些代碼主要當然並非更改網站顏色,而是從外部載入一些惡意檔案,當用户瀏灠網頁時,該頁面有機會自動以第三方程式開啟一些看似極高信任的文件,例如漏洞多多的 PDF,並再通過這些軟件的漏洞從而針對用户電腦植入木馬程式,令其成為彊屍網站一員;然而植入木馬的過程,其實可通過安裝防毒軟件即可預防。 XSS 玩法二偷取資料 – 有些黑客可能只想偷取用户資料,而對於這些黑客來說,主要會在網站之中可留言的位置植入一個與用户正在瀏灠的網頁幾乎擁有完全相同介面的頁面,而這些頁面之中主要會需要用户輸入一些資料;由於這種方法往往能於相同網址之中載入輸入用户資料頁面,所以很容易便會令用户「中招」;這種通過虛假方式偷取用户資料的過程原來有一個美輪美奐的形容詞 -「社會工程學」。 社會工程學 – 所謂的社會工程學其實是通過合法的方式進行互動,並從而欺騙用户心理,令其作出某些動作或透露機密資料;其原理與釣魚虛假網站無分別。手段包括假託(pretexting)、調虎離山(diversion theft)及下餌(Baiting)等 開發方需負安全責任 其實XSS攻擊很大部份的責任在於開發者一方。因為開發者在編寫程式時的一些遺留又或者採用了安全性較低的方式編寫程式時,往往便令網站容易成為 XSS 攻擊目標,所以作為開發者亦應該在網站正式投入服務前先針對網站進行攻擊測試,從而確保網站不能讓黑客進行 XSS 攻擊;另外用户亦應安裝防毒軟件,通過防毒軟件將有效預防黑客通過 XSS […]