1. घर
  2. सवाल और जवाब
  3. क्या जावास्क्रिप्ट के साथ हैक करना संभव है?

क्या जावास्क्रिप्ट के साथ हैक करना संभव है?

2012-11-14 20 views
15

मैं हैकिंग शब्द से परिचित हूं। यद्यपि मैं उन हैकरों में से एक नहीं बनूंगा जो लोगों को घोटाला करते हैं या परेशानी करते हैं, मुझे विश्वास है कि यह एक आवश्यक पहलू है जो किसी भी व्यक्ति को स्वयं प्रोग्रामर कहता है, क्योंकि यह मुख्य रूप से समस्या निवारण के बारे में है। लेकिन ये कैसे काम करता है? जब वे लोग गेम या वेबसाइट या सॉनी हैक करने वाले व्यक्ति को हैक करते हैं, तो क्या वे एएनएसआई सी या सी ++ या असेंबली जैसे प्रोग्रामिंग लैंगेज का उपयोग करते हैं। मान लें कि वे एक प्रोग्रामिंग भाषा का उपयोग करते हैं, क्या हैक करने के लिए जावास्क्रिप्ट का उपयोग करना संभव होगा, उसी तरह आप हैक करने के लिए किसी अन्य भाषा का उपयोग करेंगे। इसके अलावा, आपको हैक करने में सक्षम होने के लिए आपको क्या करना है। मैं सिर्फ यह जानना चाहता हूं कि यह कैसे काम करता है, और इसके पीछे सिद्धांत।क्या जावास्क्रिप्ट के साथ हैक करना संभव है?

स्रोत

2012-11-14 Anonymous

उत्तर

57

हैकिंग हर बार अद्वितीय है। कुछ प्रकार की भेद्यता को एक्सप्लोर करने के लिए किसी भी विशेष भाषा की आवश्यकता नहीं होती है। कभी-कभी आप जो भी भाषा या फॉर्म में पाते हैं उसे हैक करते हैं। कभी-कभी प्रक्रिया के हिस्से को स्वचालित करना आवश्यक होता है, उदाहरण के लिए पासवर्ड क्रैकिंग, जिसके लिए आप अपनी पसंद की किसी भी भाषा का उपयोग कर सकते हैं।

एक वाणिज्यिक गेम को तोड़ने में आमतौर पर disassembled मशीन कोड का अध्ययन करना शामिल है, यह पता लगाने के लिए कि कौन सा हिस्सा सीडी या लाइसेंस जांच करता है, और सर्जिकल रूप से कोड के कुछ बाइट्स को प्रतिस्थापित करता है जैसे चेक छोड़ दिया जाता है।

वेबसाइट को हैक करना आम तौर पर अपने डेवलपर्स के हिस्से पर कुछ छोटी गड़बड़ी की खोज शामिल करता है, जो निजी डेटा को देखने की अनुमति देता है, या कस्टम कोड के निष्पादन की अनुमति देता है अगर यह डेटा को सही तरीके से संचरित नहीं करता है। SQL injection एक सामान्य दोष है जब किसी डेटाबेस को भेजे गए मान उद्धरण ("...") के भीतर उचित रूप से संरक्षित नहीं होते हैं और इसलिए आप अपने स्वयं के आदेश निष्पादित करने के लिए उद्धरणों से बाहर होने वाले मान दे सकते हैं। Cross-site scripting एक प्रकार का हैक है जो जावास्क्रिप्ट का उपयोग करता है: यदि कोई वेबसाइट यूआरएल से पैरामीटर लेती है या फॉर्म डेटा जमा करती है और उन्हें पृष्ठ पर प्रदर्शित करता है बिना सुरक्षित रूप से उन्हें एन्कोडिंग (टेक्स्टिंग कॉमन) के रूप में, आप < स्क्रिप्ट> निष्पादन के लिए टैग प्रदान कर सकते हैं उस पृष्ठ पर। किसी ऐसे यूआरएल पर जाने के लिए किसी को कारण देने से उनकी तरफ से लिखित कार्यों को निष्पादित करने की अनुमति मिलती है। PHP (या पर्ल, या इसी तरह) के साथ सर्वर पक्ष पर कोड इंजेक्शन भी संभव है, यदि स्लॉपी कोड eval-फ़ंक्शन के समान पहुंच प्रदान करता है, या यदि सर्वर गलत कॉन्फ़िगरेशन उपयोगकर्ता द्वारा अपलोड की गई फ़ाइलों को स्क्रिप्ट के रूप में सर्वर द्वारा व्याख्या करने की अनुमति देता है।

दूरस्थ रूप से एक ऑपरेटिंग सिस्टम या सर्वर प्रोग्राम में हैकिंग नेटवर्क कमांडों के संचालन में बग का फायदा उठा सकती है। विकृत नेटवर्क कमांडों का अनुचित संचालन इसे उपयोगकर्ता पैकेट में प्रदान किए गए कोड को सीधे निष्पादित करने के लिए या यहां तक ​​कि buffer overflow के माध्यम से नेटवर्क पैकेट में प्रदान किए गए कोड को निष्पादित करने का कारण बन सकता है।

वेब ब्राउज़र, प्लगइन और दस्तावेज़ दर्शक में कीड़े समान हैं। गैर-मानक या टूटे हुए मानों के साथ फ़ाइल के सुरक्षित प्रकारों को कैसे बनाया जाना चाहिए। यदि प्रोग्रामर इन मामलों को सुरक्षित रूप से संभालने के लिए भूल गया है तो अक्सर फ़ाइल प्रकार की सामान्य सीमाओं से बचने के लिए उनका उपयोग किया जा सकता है।

वायरस को यूएसबी स्टिक या सीडी के भौतिक विनिमय के माध्यम से मशीन पर फिसल दिया जा सकता है या किसी को वायरस से लगी सॉफ्टवेयर स्थापित करने के लिए विश्वास दिलाया जा सकता है। इस तरह के वायरस को अक्सर प्रत्येक उद्देश्य (एंटी-वायरस सॉफ़्टवेयर से बचने के लिए) लिखा जाता है, लेकिन कुछ आम उपलब्ध होते हैं।

कमजोर या बुरी तरह कार्यान्वित एन्क्रिप्शन एन्क्रिप्टेड डेटा या पासवर्ड के ब्रूट-फोर्स डीकोडिंग की अनुमति दे सकता है। गैर-मौजूद एन्क्रिप्शन सीधे डेटा के वायरटैपिंग की अनुमति दे सकता है। एन्क्रिप्शन की कमी उपयोगकर्ता या सर्वर पर अनधिकृत आदेशों को भेजने की अनुमति भी दे सकती है।

बहुत स्पष्ट पासवर्ड, या अपरिवर्तित डिफ़ॉल्ट पासवर्ड, सरल अनुमान को सिस्टम में आने की अनुमति दे सकते हैं। कुछ लोग हर जगह एक ही पासवर्ड का उपयोग करते हैं। यह वेबसाइटों को केवल उपयोगकर्ता के ईमेल खाते में जाने की शक्ति देता है और उसके बाद जुड़े सब कुछ का नियंत्रण लेता है। इसका मतलब यह भी है कि एक असुरक्षित वेबसाइट पर एक पासवर्ड रिसाव का उपयोग कई अन्य वेबसाइटों पर खातों तक पहुंचने के लिए किया जा सकता है।

और कभी-कभी, "हैकिंग" social engineering है। उदाहरण के लिए, एक जूनियर कर्मचारी को फोन करना और चार्ज करने का नाटक करना, उन्हें आंतरिक जानकारी प्रकट करने या पासवर्ड रीसेट करने की कल्पना करना। फ़िशिंग ईमेल सोशल इंजीनियरिंग का एक आम, अर्द्ध स्वचालित रूप है।

सिस्टम में तोड़ना शायद ही कभी इन चरणों में से एक है।यह अक्सर सिस्टम का विश्लेषण करने, मामूली खामियों की पहचान करने और उन्हें देखने के लिए लीवरेज करने का एक लंबा प्रक्रिया है, यह देखने के लिए कि क्या उपयोगी हमले वेक्टर का खुलासा हुआ है, फिर उससे अधिक पहुंच प्राप्त करने के लिए बाहर निकलना।

मैंने इसे कभी नहीं किया है।

स्रोत

2012-12-12 15:44:28 Boann

+1

सोशल इंजीनियरिंग में जोड़ने के लिए: अपने पासवर्ड रीसेट सवालों के जवाब देने के लिए किसी सार्वजनिक सार्वजनिक मीडिया प्रोफ़ाइल पर जानकारी का उपयोग करना। – lciamp

0

साइड नोट, हैकिंग और क्रैकिंग के बीच एक अंतर है। संदर्भ: http://en.wikipedia.org/wiki/Hacker_(programmer_subculture)

जावास्क्रिप्ट का उपयोग करने वाले कई शोषण हैं, शायद सबसे प्रसिद्ध ज्ञात क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस) होने जा रहे हैं।

http://en.wikipedia.org/wiki/Cross-site_scripting

माइकल के जवाब पर अनुवर्ती कार्रवाई के लिए, यह सॉफ्टवेयर और कैसे लोगों को आदेश उनके खिलाफ की रक्षा के लिए उन कमजोरियों का फायदा उठाने में कमजोरियों जानना अच्छा है, लेकिन हैकिंग कुछ आप के लिए पहचान बनाना चाहते हैं नहीं है।

स्रोत

2012-11-14 19:00:43 Sean

1

शुरुआत के लिए, आप वास्तव में क्रैकिंग के रूप में जाना जाता है, हैकिंग नहीं कर रहे हैं। यह प्रश्न निश्चित रूप से बंद हो जाएगा, हालांकि कुछ संक्षिप्त अवलोकन^_^

क्रैकिंग कंप्यूटर सिस्टम के निर्माण के आधारभूत आधार की समझ से आता है, इसलिए आप क्रैक/हैक करने के बारे में नहीं सीखते हैं, आप कंप्यूटर इंजीनियरिंग के बारे में सीखते हैं रिवर्स-इंजीनियर पर ऑर्डर करें।

हैकिंग के लिए एक लोकप्रिय मंच लिनक्स है; उदाहरण के लिए खिड़कियों पर इसके खुले स्रोत के रूप में अनुभवी प्रोग्रामर अपने स्वयं के कार्यक्रम लिख सकते हैं। हालांकि अनुभवी हैकर्स किसी भी मंच पर अपना लक्ष्य पूरा कर सकते हैं।

लेकिन हैकिंग के कई स्तरों के होते हैं, सरल वेबसाइट सुरक्षा सोनी में हैकिंग और जेल का सामना करना पड़ से अलग दुनिया है^_^

आप पर http://www.hackthis.co.uk हालांकि

स्रोत

2012-11-14 19:01:09

+1

हाँ, सबसे अधिक इस्तेमाल किए गए प्लेटफार्मों में से एक बैकट्रैक है, जो व्हाइट टोपी हैकिंग के लिए लिनक्स वितरण है। –

2

वहाँ एक तरह से है कुछ मजेदार हो सकता है जावास्क्रिप्ट के साथ "हैकिंग" संभव है। आप एड्रेसबार से जावास्क्रिप्ट चला सकते हैं। इस वेबसाइट पर रहते समय अपने पता बार में javascript: alert("hello"); टाइप करने का प्रयास करें।

इस प्रकार स्थानीय चर, हाइजैक उदाहरण के लिए अपहरण करना संभव है।

लेकिन चूंकि जावास्क्रिप्ट क्लाइंट-साइड पर चलता है। आपकी कुकीज़ तक पहुंच प्राप्त करने के लिए लोगों को आपके वर्कस्टेशन का उपयोग करना होगा। यह एक ऐसी तकनीक है जिसका उपयोग लॉगिन डेटा को बदलने और किसी और होने का नाटक करने के लिए किया जा सकता है (यदि साइट बुरी तरह से बनाई गई थी)।

आप वास्तव में इस बारे में अधिक जानकारी चाहते हैं, तो वहाँ कुछ 'जावास्क्रिप्ट हैकिंग सबक' यहां पाया जा सकता है कि कर रहे हैं: http://www.hackthissite.org/pages/index/index.php

स्रोत

2012-11-14 19:02:53 Neograph734

0

यह कई बातों पर निर्भर करता है, उदाहरण के लिए: कैसे html कोड संरचित है, उदाहरण के लिए , मुझे नहीं पता कि क्या आप एक आईफ्रेम हैक कर सकते हैं, लेकिन एक सामान्य वेब पेज हैक करने के लिए सापेक्ष आसान होगा। एक और सुरक्षा pitfall प्रोग्रामर आमतौर पर यूआरएल क्वेरी-स्ट्रिंग के माध्यम से संवेदनशील जानकारी गुजर रहा है, तो आप डेटा के उन टुकड़े प्राप्त कर सकते हैं और उन्हें HTML कोड में कहीं भी इस्तेमाल कर सकते हैं।

एक और विवरण हो सकता है, लेकिन मैं अभी उन्हें समझ नहीं पा रहा हूं।

स्रोत

2012-11-14 19:03:56

संबंधित मुद्दे

 संबंधित मुद्दे