Хакером или злоумышленником у них гораздо больше возможностей, чем у меня, т. Для более подробной информации, особенно о том, какие типы злоумышленников встречаются в сети, что их мотивирует, и как защитить ваш сайт на Word. Press смотрите оригинальную презентацию. Как специалист по безопасности, так и злоумышленник располагают гораздо большим свободным временем, чем специалист широкого профиля, такой как я. У компьютерных пиратов есть возможность пользоваться вредоносными программными средствами, в том числе целым арсеналом высокотехнологичных инструментальных средств разработки прикладных программ для взлома систем безопасности вебсайтов, доступ к форумам черных хакеров и т. Пакеты разработчика и комплекты для взлома систем безопасности эксплойты свободно продают и покупают за криптовалюту Bitcoin или доллары на сайтах черных рынков. В настоящей презентации речь пойдет об использовании только легальных инструментов разработчика, т. В новой презентации речь пойдет об уязвимости систем безопасности к внедрению запроса SQL во время добавления нового администратора на сайт Word. Press через базу данных сайта. Не становитесь хакером. Цель данной презентации показать насколько легко получить контроль над сайтом, работающим под управлением Word. Press, если его своевременно не обновлять. Надеюсь этим мотивировать вас во время обновлять базы данных сайта на Word. Press и следить за его безопасностью. Все показанное в презентации является основами безопасности, и доступно каждому, у кого есть выход в Интернет, также все представленное в показе легко найти с помощью обычного веб поиска. В презентации не представлены сложные в применении передовые технологии или технические приемы, понятные только специалисту. Однако, самовольное использование материалов презентации в отношении сайтов или ПК, которые не являются вашей собственностью, противозаконно и влечет за собой соответствующие наказание. Адресная Справка Казахстан Образец. Не следует этого делать. Цельhttp myblog. Данный сайт на Word. Press работает на виртуальной машине моего лэптопа и не имеет публичного доступа. Word. Press 4. 0 последняя версия на период публикации презентации. Плагин Custom Contact Forms версия 5. Плагин для Word. Press с возможностью настройки под индивидуальные потребности пользователя и с интуитивно понятной формой обратной связиЗагружен более 6. Оценка 3. 8 по 5 бальной шкале. Примечание Уверсии 5. Версия, используемаянами 5. Единственное дополнение, которое я сделал на свое усмотрение включил безопасный командный процессор SSH, чтобы можно было управлять программой через командную строку. Используем Ubuntu Server LTS, поскольку он давно уже себя положительно зарекомендовал и пользуется наибольшей популярностью среди пользователей, работающих со своими серверами. Атакующийbadguy. 2. Атакующая система работает на второй виртуальной машине, доступной на моем лэптопе, и также как и цель взлома ее нет в общем доступе. Мы используем последнюю версию Kali Linux 1. Debian 7 Wheezy. Kali Linux, http www. Легальный инструмент, который позволяет компаниям проверить свои сети на наличие проблем с безопасностью. Точней это комплект из более, чем 3. Это полностью разработанная Linux система, которой можно спокойно доверять. Запускаются дистрибутивы как с CD диска, так и устанавливаются на компьютер. Мы будем использовать продукт Linux, потому что это наиболее быстрый и простой способ запустить имитацию атаки скачал, запустил, атакуй. На самом деле нам понадобятся только три из всего разнообразия предлагаемых и разрабатываемых Kali Linux инструментов WPScan Осуществляет поиск на наличие проблем с безопасностью у сайтов на Word. Press и взламывает при помощи грубой силы brute force пароли пользователей Word. Press. Metasploit Высокотехнологичный набор инструментов по проверке безопасности, снабженный веб интерфейсом, через который можно легко запускать атаки, даже не имея глубоких технических познаний в этой области. Weevely . Это потребовало бы лишь чуточку больше технических знаний, чем при использовании готового пакета Kali Linux, плюс немного больше потратить времени на настройку программ и радоваться результату проделанных трудов. Но выберем менее трудоемкий вариант. WPScan. Чтобы познакомиться с работой WPScan, запустите его с помощью опции справки help rootbadguy. Это очень плохо, к сожалению, подобное поведение не редкость. WPScan обнаружил девять уязвимых мест в системе безопасности. Большая часть из них, скорее всего, будут не особо полезными для случайного злоумышленника, но некоторые все же могут дать ему возможность взломать ваш сайт. Более подробно об обнаруженных слабых местах читайте под каждой ссылкой в результатах сканирования WPScan. WPScan обнаружил одну тему orci, которая в соответствии с полученными результатами производная от темы двадцать одиннадцать Twenty Eleven и 8 дополнительных модулей. Вероятных таких уязвимых мест гораздо больше, если проверить систему с помощью сканирования WPScan в режиме полного поиска плагинов wpscan enumerate ap. Имейте в виду, что конфигурация веб сервера, позволяющей размещение справочного или рекламного контента из различных источников потенциально полезная для злоумышленника брешь в системе безопасности. Ели бы мы решили взломать этот сайт, то WPScan предоставил нам для этого множество возможных потенциальных лазеек и обходных путей. WPScan. Теперь нашей целью мишенью будет http myblog. Script started on Thu 0. Oct 2. 01. 4 0. 9 4. PM EDT. rootbadguy. В настоящем демо показе мы используем Metasploit Community. Основные этапы Создайте личный кабинет в Metasploit. Получите и введите лицензионный ключ для версий Community, Express, ProСоздайте проект. Выберите и запустите эксплойт для вторжения на сайт мишень нашей атаки. Можете делать все, что захотите с сайтом жертвой атаки.