آموزش اصطلاحات هکری (قسمت دوم)

سلام درود و درود و سلام با اصطلاحات هکری قسمت دوم در خدمت شما دوستان عزیز هستم امیداورم که از این آموزش نهایت استفاده رو ببرین

بریم سراغ آموزش

با اولین اصطلاح شروع میکنیم همنطور که توی پادکست گفتم..

مهندسی اجتماعی:

مهندسی اجتماعی یکی از بهترین روش ها برای حمله کردن دزدین اطلاعات یا حتی جمع آوری اطلاعات به هر هکری کمک میکنه که فقط ۲۰% از ابزار های خودش استفاده کنه باعث میشه که روابط خوبی رو ایجاد کنه با قربانی و از اون برای خودش سو استفاده کنه نمی گم کار خوب یا بدی نه رد میکنم نه تایید ، فقط هدف اینکه بدونید این اصطلاح کاربردش چیه یک هکر می‌خواهد وارد یک شبکه کامپیوتری شود ولی نمی‌تواند ضعفی در ورود به شبکه پیدا کند یک خانم را مامور می‌کند با یکی از کارمندان آن شبکه دوست شود و به او یک فلش با آهنگ‌های مورد علاقه بدهد در ساعت کاری این خانم با کارمند شبکه تماس می‌گیرد و می‌گوید یکی از کلیپ‌های موجود در فلش با نامی معین را اجرا کند چون یک آهنگ نیست بلکه یک پیغام صوتی عاشقانه است کارمند شبکه با ذوق و شوق آن فلش را برای شنیدن آن فایل صوتی به کامپیوتر خود می‌زند و یک ویروس مخرب را ناخواسته وارد آن شبکه می‌کند و برای نفوذگر امکان نفوذی بی درد سر را محیا می‌کند . این یه روشی هست برای فریب دادن ساختار این هدف از مهندسی اجتماعی بالایی بر خوردار هست

فیشینگ چیست؟؟

قبل از توضیح دادن بگم که همین فیشنگ یکی از زیر شاخه های مهندسی اجتماعی و توی ایران که غوغا کرده برای شروع هرکس همین فکر به ذهنش میرسه که یه شبه پول دار بشه یکی از حملات معروف فیشینگ ارسال ایمیل‌های جعلی از سمت بانک است بدین نحو که یک نفوذگر ایمیل جعلی از سمت یک بانک را برای تعداد زیادی کاربر ایمیل می‌کند و در آن یک لینک قرار می‌دهد که به جای هدایت به صفحه اصلی بانک کاربر را به صفحه‌ای مشابه صفحه بانک هدایت می‌کند. کاربر پس از دیدن صفحه‌ای مشابه صفحه بانک و وارد کردن یوزرنیم و پسورد خود در دام هکر می‌افتد در برخی حملات فیشینگ نام کاربری و رمز عبور هزاران کاربر بانک به سرقت می‌روند

پادکست آموزش شناسایی صفحات فیشینگ (برای مشاهده در اینجا کلیک کنید)

حملات SQL Injection:

تمامی سایت‌ها و سامانه‌ها از پایگاه داده استفاده می‌کنند بدلیل ماهیت پایگاه داده که عملیات فراخوانی و ذخیره اطلاعات را با هم انجام می‌دهند این سیستم مستعد حجم بزرگی از آسیب پذیری‌ها است و اولین هدف هر نفوذگری در واقع رخنه کردن به اطلاعات موجود در سیستم دیتابیس سایت یا سامانه تحت وب است

عملیات اسکیو ال به این نحو است که نفوذگر پس از یافتن آسیب پذیری اسکیو ال در سورس سایت شروع به تزریق کدهای مخرب به منظور واکشی اطلاعات از آن آسیب پذیری می‌کند توی قسمت یو ار ال صفحه برای اینکه ببینیدی که یک سایت آسیب پذیری اس کی ال دارد با زدن علامت کوتیشن جلو یو ار ال با وارنینگ روبه رو میشید که همون ارور دیتابیس هست البته مهم اینو بدونید هر سایت با کوتیشن مشخص نمیشه که آسیب پذیری داره یا نه سایت هایی که با asp.net نوشته شدن برای اسیب پذیری باید حتما  کوتیشن a رو بزنید تا ارور از دیتابیس دریافت کنید در برخی پایگاه‌های داده بدلیل تنظیمات خاص نمی‌توان تغییراتی در جداول موجود در پایگاه داده ایجاد کرد ولی می‌توان حداقل اطلاعات موجود در پایگاه داده را خواند و از آن‌ها برای تکمیل عملیات نفوذ بهره برد

البته توجه کنید که ما دیتابیس های مختلفی مانند: oracle , PostgreSQL ,MongoDB داریم که عملیات تست نفوذ در هرکدام متفاوت است !

صفحه دیفیس:

وقتی یک هکر کلاه سفید، خاکستری، سیاه به یک سیستم نفوذ می‌کند چگونه قدرت خود را به رخ دیگران می‌کشد؟! با دیفیس کردن ، در واقع دیفیس کردن به عملی گفته می‌شود که شخص نفوذگر با آن عمل ظاهر سایت را به چیز دیگری تغییر می‌دهد و به این روش اثبات می‌کند که توانسته است به آن سیستم نفوذ کند

گوگل هکینگ (دورک ها) :

دورک ها سری کدهایی هستند که فرد برای جستوی سریع و دقیق تردر موتور های جستجو گر از آن استفاده میکند . برای این گفتم فرد چون مختص به هک کردن نیست یعنی هرکس میتونه یه دورک مخصوصی برای خودش بسازه دورک های پرایوت هم داریم که همچنان پرایوت هستن و دروک های پابلیک هم که با سرچ میتونید بهشون برسید گوگل هکینگ نه اینکه گوگل رو هک کنیم منظورم این نیست اینکه یسری افراد هستن میتونن دورک های خاصی برای خودشون بسازن و بتون دسترسی بگیرن به محتوا با سرچ کردن گوگل هکنیگ توی گوگل سایت exploit-db که باگ ها دورک ها و انواع روش ها و متد ها رو دوستان ایرانی خارجی از هرجای دنیا دورک ها رو پرایوت میکنن حالا بقیه ش با خودتون برین سرچ کنید دانش خودتونو توی این زمینه بالا ببرید

روت کیت ها:

در پادکست زیر توضیحات مربوط به روت کیت ها رو براتون گفتیم..😃👇

[ روت کیت چیست؟ ]

هش ها :

هش تابعی است که ورودی از حروف و اعداد را به یک خروجی رمزگذاری شده با طولی ثابت تبدیل می‌کند. توابع هش در سرتاسر اینترنت به منظور ذخیره ایمن کلمه عبور، یافتن سوابق تکراری ذخیره سریع و بازیابی اطلاعات و موارد این‌چنین به‌کاربرده می‌شوند هش ها یه جور الگوریتم و روش های کد گذاری و رمزگذاری متن  ها هست . که مدل هایی از جمله md4 md5 sha256 sha512 hex

خیلی خوب امیداوارم که این مطالب به کارتون بیاد از پادکست هایی که واستون درست میکنیم انتشار میدیم نهایت استفاده رو ببرین

قصدمون بالا بردن دانش شما هست توی این حوزه(هک و امنیت)😉