Hiển thị các bài đăng có nhãn Bảo Mật. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn Bảo Mật. Hiển thị tất cả bài đăng

Thứ Năm, 19 tháng 5, 2016

Làm thế nào để tin tặc hack mật khẩu của bạn?

Kỹ thuật xã hội


Các phương pháp công nghệ thấp phổ biến nhất để thu thập mật khẩu là kỹ thuật xã hội . Xã hội kỹ thuật lợi dụng tính chất đáng tin cậy của con người để có được thông tin rằng sau này có thể được sử dụng độc hại. Một kỹ thuật kỹ thuật chung của xã hội chỉ đơn giản là để con người tiết lộ mật khẩu của họ. Nghe có vẻ vô lý, nhưng nó sẽ xảy ra tất cả các thời gian và thậm chí cả thận trọng nhất của người dân rơi vào nó.

Shoulder surfing

Vai lướt   (hành động nhìn qua vai của ai đó để xem những gì người đó là đánh máy) mà còn được gọi là hacking thị giác, là một cách hiệu quả, công nghệ thấp password hack. Nó đã tồn tại từ các máy tính thời gian đã trở thành phổ biến nhưng chỉ được coi là có nguy cơ cao bây giờ. Bất cứ ai có quan tâm trong mật khẩu của bạn có phải nhìn qua vai của bạn và ghi lại các mật khẩu. Nó có thể xảy ra tại một máy ATM, trong một quán cafe hay ở sân bay. Bạn luôn có thể tự bảo vệ mình bằng cách liếc xung quanh trước khi keying trong mật khẩu.

keyloggers

Đây là một trong những công cụ cơ bản được sử dụng để nhận được mật khẩu của bạn. Keylogger nằm trong bộ nhớ hệ thống của bạn và chạy ở mỗi lần khởi động. Những keylogger đăng nhập tất cả các tổ hợp phím bạn gõ. Một bản ghi được tạo ra và sau đó nó được gửi đến Hacker. keylogger nổi tiếng nhất là Ardamax Keylogger. Nó có thể được tùy chỉnh để nó không hiển thị trong "Processes" Windows và thông báo cho các nạn nhân.
Giải pháp tốt nhất để tránh keylogger được sử dụng  trực tuyến Bàn phím ảo  khi gõ mật khẩu cho các trang web nhạy cảm như tài khoản ngân hàng của bạn và tài khoản Paypal.

2. RAT

RAT là viết tắt của Công cụ quản trị từ xa. Với RAT, một hacker có thể kết nối với máy tính của bạn, mà bạn không biết. Anh ta có thể nhìn thấy những gì đang xảy ra trên màn hình, những gì bạn đang làm, mà các trang web bạn lướt web. Nó cũng có tích hợp chức năng của keylogger.
Hacker có thể sao chép các tập tin từ ổ đĩa cứng của bạn để máy tính của mình, và tất cả điều này mà bạn không biết. Một ví dụ tốt về RAT là Poison Ivy . Nó có thể được tùy chỉnh để kết nối với máy tính của bạn vào một số cổng cụ thể được quy định trong khi tạo ra các RAT.

3. Trojans

Bây giờ đây là những loại phổ biến nhất của các malware. Trojan lây lan thông qua các trang web warez, các trang web torrent hoặc bằng cách nhấp vào liên kết chủ yếu vào nguy hiểm . Tất cả các bạn muốn phần mềm miễn phí. Đúng? Hãy coi chừng mặc dù! Khi bạn tải về từ các trang web hoặc các trang web warez torrent. Trong mọi khả năng tất cả các phần mềm, keygens và các bản vá lỗi có thể chứa trojan. Điều này có nghĩa là bạn sẽ nhận được các phần mềm miễn phí, nhưng máy tính của bạn sẽ bị nhiễm bởi một Trojan.
Có nhiều cách khác mà các hacker thường sử dụng, ví dụ như nếu bạn đang kết nối với mạng Internet trên một mạng LAN, sử dụng cùng một router, một hacker có thể sử dụng bất kỳ gói sniffer và cơ sở giải mã để đọc tất cả các dữ liệu nhạy cảm được truyền đi từ máy tính của bạn.
Để đánh bại hacker như vậy, luôn luôn tránh các điểm Wi-Fi công cộng cho ngân hàng, email vv Đăng nhập sử dụng các trang web HTTPS khi họ mã hóa lưu lượng giữa bạn và máy chủ bỏ rơi sniffers không răng. Lướt qua vai của bạn, sử dụng mật khẩu cứng, sử dụng phần mềm quản lý mật khẩu để quản lý mật khẩu của bạn.

Chủ Nhật, 15 tháng 5, 2016

Dưới đây là các hacker tuổi teen lớn nhất thế giới của mọi thời đại

Như một đứa trẻ hay là một thiếu niên, khi hầu hết chúng ta đang cố gắng để hiểu được những mặt tích cực và vui vẻ của thế giới và môi trường xung quanh, có một số đứa trẻ đang bận rộn khám phá những mặt tối của thế giới cho vui và sự tò mò. Trong trường hợp này, chúng ta đang đề cập đến hack.
Trong bài viết này, chúng tôi mang lại cho bạn các tin tặc 5 thanh thiếu niên hàng đầu mà chúng tôi nghĩ có thể là hacker huyền thoại của mọi thời đại. Chúng ta hãy có một cái nhìn.

James Kosta: 13-Year-Old Ai Hack được mọi thứ

Có lẽ nổi tiếng nhất trong những hacker trẻ, James Kosta tại 13 đã có một cuộc sống gia đình gặp khó khăn. Ông và các đối tác của mình bị hack và kinh doanh máy tính quân sự lớn, bao gồm cả ngân hàng lớn, General Electric và IBM. Ở tuổi 14, ông bị kết án 45 tội trộm cắp kỹ thuật và bị kết án 45 năm tù giam.Tuy nhiên, ông gia nhập Hải quân thay vì ở tuổi 18 như một nhà phân tích tình báo. Năm 20 tuổi, ông gia nhập CIA để theo dõi các lãnh chúa ở châu Phi và Trung Đông. Hơn nữa, ở tuổi 24, ông đã bán công ty dotcom đầu tiên của mình cho hàng triệu đô la. Hôm nay, ông cố vấn của "thanh niên gặp khó khăn" để khai thác đầy đủ tiềm năng của họ và cung cấp cho các cuộc đàm phán TED.
James Kosta, cựu hacker máy tính, cho TED Talk

Matthew Weigman: 14 tuổi Hack SWAT

Là một cậu bé mù ,Weigman sử dụng khả năng thính giác đặc biệt của mình để giúp anh ta lừa dối các nhà khai thác điện thoại và giả khác nhau tín hiệu điện thoại trong băng tần. Trước khi bị bắt ở tuổi 18, Weigman đã sử dụng khả năng này để trở thành một nổi tiếng Phreaker điện thoại, ghi nhớ số điện thoại của giai điệu và thực hiện mô phỏng kỳ lạ của nhà khai thác điện thoại khác nhau để thực hiện trò đùa như swatting về đối thủ của mình. Trong lần đầu tiên bao giờ giả mạo SWAT của mình, ông gọi cảnh sát khi một cô gái từ chối quan hệ tình dục qua điện thoại với anh ta. Ông giả mạo số điện thoại của cô gái trên hệ thống của người gọi ID của họ, và giả vờ để được ôm cô .

Michael Demon CALCE: 15 tuổi HACK web 

Michael Demon CALCE, người nổi tiếng nhất như MafiaBoy trong Internet, bị bắt vào tháng Hai năm 2000 do công từ chối dịch vụ (DDoS) nhằm vào các trang web có uy tín trên Internet như eBay , CNN, AmazonDell và Yahoo, trong vòng một tuần . Quay lại sau đó, Yahoo! là động cơ hàng đầu thế giới tìm kiếm trước khi Google, và CALCE của cuộc tấn công, mà ông đặt tên là Dự án Rivolta gây ra nó để sập trong vòng 1h.
của hacker vị thành niên Michael CALCE

Richard Pryce: 16 tuổi Hack lầu năm góc

Richard Pryce 16 tuổi (Datastream Cowboy) và với một người bạn của mình 19 tuổi của mình  Mathew Bevan (được gọi là Kuji) đã đưa chính phủ Mỹ cho một chuyến đi khi họ tấn công mạng của Lầu Năm Góc cho vài tuần trong năm 1994. Họ đã sao chép mô phỏng chiến trường từ Griffiss Căn cứ không quân ở New York, chặn tin nhắn từ các đại lý Mỹ ở Bắc Triều Tiên, và có quyền truy cập vào một cơ sở hạt nhân của Triều Tiên. Họ gần như đã gây ra một sự kiện quốc tế giữa Hoa Kỳ và Bắc Triều Tiên.



Thứ Năm, 28 tháng 4, 2016

HƯỚNG DẪN LÀM ĐƠ CẢ TIỆM NET BY Jo3

Nguồn Jo3

để đánh dấu sự trở lại của Jo3
b1 : tải Perl và cài đặt (mình cài rồi)
tải code về mã hóa MD5 m.n giải ra nhé feaadce99387693dfb6a16ca483627dd
DOWNLOAD
b2 : mở cmd ra
đến ổ chứa thư mục perl thường là ổ c
cd Perl
mở file
jo3.pl 115.146.126.227 80 1000 300
như thế này
đó nhấn enter là xong nếu muốn thoát ấn ctrl + c
à mà pass của link download mình đã mã hóa md5 r nhé
ai muốn tải thì giả mã rồi down ( chống trẻ trâu )
END TUT

Thứ Ba, 19 tháng 4, 2016

14 công cụ mã nguồn mở giúp tìm kiếm lỗ hổng ứng dụng web!

Trong quá khứ nhiều website nổi tiếng đã bị hacker tấn công và gây ra những hậu quả nghiêm trọng gây mất uy tín cho doanh nghiệp. Việc kiểm tra an ninh cho website vô cùng quan trọng nhằm tránh những tổn thất trong tương lai. Việc đánh giá an ninh cho website cần có những chuyên gia có tay nghề với chi phí lớn ngoài ra cần phối hợp sử dụng các công cụ Application Security Scanner để nhanh chóng tìm và đưa ra các bản vá kịp thời đảm bảo an ninh cho các website.

Application Security Scanner là chương trình phần mềm cho phép kiểm tra các lỗ hổng an ninh trên website.

Application Security Scanner với các bản thương mại mang lại hiệu quả khá cao như web Acunetix, bên cạnh đó còn nhiều chương trình webscan mã nguồn mở mang lại hiệu quả khá cao giúp các chuyên gia hay lập trình viên nhanh chóng, đỡ mất thời gian tìm ra các lỗi an ninh trên hệ thống website.

Các bạn không nên nhầm lẫn giữa các chương trình mã nguồn mở với các chương trình miễn phí chúng hoàn toàn khác nhau. Mã nguồn mở là có kho mã nguồn về ứng dụng đó để người dùng có thể tùy biến theo nhiều kiểu khác nhau, có khi được phát triển thành ứng dụng bán lấy tiền có khi chia sẻ miễn phí nhưng tất cả đều phải công bố mã nguồn còn các ứng dụng miễn phí tất nhiên là free nhưng mã nguồn của nó thì chưa biết được.



1. Grabber:
Là một máy quét lỗ hổng ứng dụng web các lỗ hổng mà nó có thể phát hiện:

Cross site scripting
SQL injection
Ajax testing
File inclusion
JS source code analyzer
Backup file check
Công cụ này được đánh giá chạy khá nhanh với các website nhỏ và mất nhiều thời gian với các website lớn.
Cộng cụ này phát triển bằng ngôn ngữ python và không cung cấp trình giao diện nào cho người dùng. Các bạn có thể tùy biến hay nghiên cứu mã nguồn của nó.

Download it here: http://rgaucher.info/beta/grabber/
Source code on Github: https://github.com/neuroo/grabber

2. Vega:
Đây là công cụ phát triển dựa trên ngôn ngữ lập trình java có thể chạy trên nền tảng OSX, Window, Linux.
Công cụ Vega có thể tìm kiếm các lỗ hổng SQL injection, header injection, directory listing, shell injection, cross site scripting, file inclusion và một số lỗ hổng ứng dụng web khác.
Bạn có thể cài đặt số luồng quét tối đã mỗi giây khi bắt đầu kiểm tra 1 website.

Documentation: https://subgraph.com/vega/documentation/index.en.html
Download Vega: https://subgraph.com/vega/

3. Zed Attack Proxy:
Đây là công cụ được phát triển bởi AWASP chạy được trên nền tảng Window, OSX, Unix, Linux. Đây là công cụ đơn giản và dễ sử dụng.
Những tính năng của nó được liệt kê dưới đây:
Intercepting Proxy
Automatic Scanner
Traditional but powerful spiders
Fuzzer
Web Socket Support
Plug-n-hack support
Authentication support
REST based API
Dynamic SSL certificates
Smartcard and Client Digital Certificates support

Download ZAP : http://code.google.com/p/zaproxy/

4. Wapiti :
Đây cũng là một công cụ kiểm tra an ninh website tốt. Phương thức kiểm tra an ninh trên web của nó là quét các đường link và chèn giữ liệu test lên các đối tượng ( texbox...), nó hỗ trợ GET cà POST HTTP. Các lỗ hổng có thể được phát hiện bằng công cụ này:

File Disclosure
File inclusion
Cross Site Scripting (XSS)
Command execution detection
CRLF Injection
SEL Injection and Xpath Injection
Weak .htaccess configuration
Backup files disclosure

Đây là công cụ sử dụng dòng lệnh để thao tác nên dành cho các chuyên gia với các bạn mới bắt đầu thì sẽ khó sử dụng.

Download Wapiti with source code: http://wapiti.sourceforge.net/

5. W3af :
Công cụ kiểm tra an ninh web này được phát triển bằng ngôn ngữ python. Sử dụng công cụ này bạn có thể kiểm tra được hơn 200 lỗ hổng ứng dụng web bao gồm các lỗ hổng nguy hiểm như: SQL injection, Cross-Site Scripting.

Điều đặc biệt là công cụ này được đi kèm với giao diện đồ họa với các tùy chọn cho phép người dùng dễ dàng sử dụng.
Chi tiết hơn về công cụ này:

https://github.com/andresriancho/w3af/
Download it from the official website: http://w3af.org/

6. WebScarab :
Đây không phải một công cụ dành cho người mới bắt đầu vì nó được thiết kế cho những người hiểu biết tốt về HTTP và biết viết mã.
Ngoài các tính năng như các công cụ kiểm tra an ninh website khác công cụ có chức năng như con nhện tự động tìm kiếm các link của mục tiêu và đưa ra các kịch bản nhằm kiểm tra lỗ hổng trên các link đó.
Các lỗ hổng có thể được phát hiện bởi công cụ: SQL injection, XSS< CRLF và nhiều hơn nữa.

Source code of the tool is available on Github: https://github.com/OWASP/OWASP-WebScarab
Download WebScarab here: https://www.owasp.org/index.php/Cate...Scarab_Project

7. Skipfish :

Đây là công cụ viết bằng ngôn ngữ lập trình C. Nó được tối ưu để có thể chạy 2000 request mỗi giây mà không cần quá nhiều CPU máy tính nên tốc độ khá nhanh.
Công cụ này được chạy trên các nền tảng: OSX, Linux, Window.

Download Skipfish or code from GOogle Codes: http://code.google.com/p/skipfish/

8. Ratproxy:
Ratproxy cũng là một công cụ mã nguồn mở kiểm tra an ninh ứng dụng web. Nó hỗ trợ Linux, FreeBSD, MacOS X, và (Cygwin) môi trường Windows.

Công cụ này được thiết kế để khắc phục những vấn đề người dùng thường gặp phải khi sử dụng các công cụ proxy khác để kiểm tra an ninh. Nó có khả năng phân biệt giữa css và mã JavaScript. Nó cũng hỗ trợ giao thức SSL khi kiểm tra an ninh, có nghĩa là bạn cũng có thể xem dữ liệu khi website chạy SSL.

Bạn có thể đọc thêm về công cụ này ở đây: http://code.google.com/p/ratproxy/wiki/RatproxyDoc
Download http://code.google.com/p/ratproxy/

9. SQLMap :
Đây có lẽ là công cụ sử dụng phổ biến nhất và nhiều bạn biết về nó.
QALMap được viết trên ngôn ngữ lập trình Python và chạy bằng command line trên cả 3 nền tảng OSX, Linux, Window.
Bạn có thể tìm hiểu thêm về công cụ này tại:

https://github.com/sqlmapproject/sqlmap
Download SQLMap here: https://github.com/sqlmapproject/sqlmap

10. Wfuzz:

Wfuzz là một công cụ mã nguồn mở tự do có để kiểm tra an ninh ứng dụng web. Nó có thể được sử dụng để thực thi truy vấn GET và POST nhằm phát hiện các lỗ hổng an ninh như SQL, XSS, LDAP và nhiều thứ khác. Nó cũng hỗ trợ cookie fuzzing, multi-threading, SOCK, Proxy, Authentication, parameters brute forcing, multiple proxy...vvv
Đây là công cụ không hỗ trợ giao diện nên các bạn phải dùng dòng lệnh để sử dụng.

Download Wfuzz from code.google.com: http://code.google.com/p/wfuzz/

11. Grendel-Scan:
Đây là công cụ được phát triển bằng ngôn ngữ Java chạy được trên các nền tảng OSX, Linux và Window. Nó giúp các chuyên gia nhanh chóng tìm ra các lỗ hổng ứng dụng web.

Download the tool and source code: http://sourceforge.net/projects/grendel/

12. Watcher:
Khác với các công cụ khác đây là một chương trình thụ động dưới dạng add-on. Để sử dụng nó bạn cần cài đặt Fiddler trước rùi cài thêm add-on Watcher vào.
Là một máy quét thụ động nên nó không gây ảnh hưởng tới website hay cơ sở hạ tầng của website đó.

Download watcher and its source code: http://websecuritytool.codeplex.com/

13. X5S:
Đây của là một add-on của Fiddler để dùng được nó bạn cũng phải cài đặt Fiddler trước.

Download X5S and source code from codeplex: http://xss.codeplex.com/

14. Arachni:
Arachni là một công cụ mã nguồn mở được phát triển để cung cấp một môi trường thử nghiệm thâm nhập. Công cụ này có thể phát hiện các lỗ hổng bảo mật ứng dụng web khác nhau. Nó có thể phát hiện các lỗ hổng khác nhau như SQL Injection, XSS, Local File inclusion, remote file inclusion, unvalidated redirect và nhiều lỗ hổng khác.

Download this tool here: http://www.arachni-scanner.com/

Qua bài viết này các bạn có thể biết thêm một số công cụ giúp tìm kiếm lỗ hổng an ninh website. Bài viết mình chỉ giới thiệu sơ qua về các công cụ trên hy vọng các bạn sẽ có các bài chi tiết giới thiệu tầng công cụ đó để mọi người cùng tìm hiểu.

Nguồn: resources dot infosecinstitute dot com