هك سايت با پايتون

كمپين‌هاي مهندسي اجتماعي را از هك سايت با پايتون طريق آدرس ايميل شما انجام دهند. در اينجا بياموزيد كه چگونه مهاجمان مي توانند به تزريق ايميل دست يابند و چگونه مي توانيد از آن جلوگيري كنيد.

موتورهاي قالب نوعي نرم افزار هستند كه براي تعيين ظاهر يك صفحه وب استفاده مي شوند. اين قالب‌هاي وب كه به زبان‌هاي قالب مانند Jinja نوشته شده‌اند، راهي را در اختيار توسعه‌دهندگان قرار مي‌دهند تا مشخص كنند چگونه يك صفحه بايد با تركيب داده‌هاي برنامه با قالب‌هاي وب ارائه شود. قالب‌هاي وب و موتورهاي قالب به توسعه‌دهندگان اجازه مي‌دهند كه منطق برنامه سمت سرور را از كد ارائه سمت سرويس گيرنده در طول توسعه وب جدا كنند.

تزريق قالب به تزريق قالب هاي وب اشاره دارد. بسته به مجوزهاي برنامه در معرض خطر، مهاجمان ممكن است بتوانند از آسيب‌پذيري تزريق الگو براي خواندن فايل‌هاي حساس، اجراي كد يا افزايش امتيازات خود در سيستم استفاده هك سايت با پايتون كنند. در اين پست با نحوه كار تزريق قالب و نحوه جلوگيري از آنها آشنا شويد.

يك عبارت منظم يا regex يك رشته خاص است كه يك الگوي جستجو را در متن توصيف مي كند. گاهي اوقات، برنامه‌ها به كاربران اجازه مي‌دهند الگوهاي regex خود را براي سرور اجرا كنند يا با ورودي كاربر يك regex بسازند. يك حمله تزريق regex يا يك حمله انكار سرويس با بيان منظم (ReDoS)، زماني اتفاق مي‌افتد كه يك مهاجم يك موتور regex را با الگويي ارائه مي‌كند كه ارزيابي آن زمان زيادي طول مي‌كشد. شما مي توانيد نمونه هايي از اين الگوها را در پست من در اينجا پيدا كنيد.

خوشبختانه، با ايجاد نكردن الگوهاي regex از ورودي كاربر، و با ساختن الگوهاي regex با طراحي خوب كه زمان محاسبات مورد نياز آنها با رشد رشته متن به صورت تصاعدي رشد نمي‌كند، مي‌توان از تزريق regex به‌طور قابل اعتمادي جلوگيري كرد. مي توانيد برخي را پيدا كنيدنمونه هايي از اين اقدامات پيشگيرانه در اينجا.

XPath يك زبان پرس و جو است كه براي اسناد XML استفاده مي شود. SQL را براي XML در نظر بگيريد. XPath براي پرس و جو و انجام  هك سايت با پايتون عمليات روي داده هاي ذخيره شده در اسناد XML استفاده مي شود. به عنوان مثال، XPath مي تواند براي بازيابي اطلاعات حقوق كاركنان ذخيره شده در يك سند XML استفاده شود. همچنين مي توان از آن براي انجام عمليات عددي يا مقايسه بر روي آن ايرانيان سايبر داده استفاده كرد.

تزريق XPath حمله اي است كه به عبارات XPath تزريق مي كند تا نتيجه پرس و جو را تغيير دهد. مانند تزريق SQL، مي توان از آن براي دور زدن منطق تجاري، افزايش امتياز كاربر و نشت داده هاي حساس استفاده كرد. از آنجايي كه برنامه‌ها اغلب از XML براي برقراري ارتباط داده‌هاي حساس در سيستم‌ها و سرويس‌هاي وب استفاده مي‌كنند، اين مكان‌ها آسيب‌پذيرترين مكان‌ها در برابر تزريق XPath هستند. مشابه تزريق SQL، مي توانيد با استفاده از پرس و جوهاي پارامتري شده از تزريق XPath جلوگيري كنيد.تزريق هدر

تزريق هدر زماني اتفاق مي‌افتد كه هدرهاي پاسخ HTTP به صورت پويا از ورودي نامعتبر ساخته مي‌شوند. بسته به اينكه آسيب‌پذيري روي كدام هدر پاسخ تأثير مي‌گذارد، تزريق هدر مي‌تواند منجر به اسكريپت‌نويسي بين سايتي، تغيير مسير باز و تثبيت جلسه شود.

به عنوان مثال، اگر هدر Location را بتوان با يك پارامتر URL كنترل كرد، مهاجمان مي توانند با مشخص كردن سايت مخرب خود در پارامتر، تغيير مسير باز كنند. مهاجمان حتي ممكن است بتوانند اسكريپت هاي مخرب را در مرورگر قرباني اجرا كنند يا با ارسال پاسخ هاي HTTP كاملاً كنترل شده از طريق تزريق هدر، قربانيان را مجبور به هك سايت با پايتون دانلود بدافزار كنند. اطلاعات بيشتر در مورد نحوه عملكرد اين حملات در اينجا.

مي‌توانيد با اجتناب از نوشتن ورودي كاربر در سرصفحه‌هاي پاسخ، حذف كاراكترهاي خط جديد از ورودي كاربر (از كاراكترهاي خط جديد براي ايجاد سرصفحه‌هاي پاسخ HTTP جديد استفاده مي‌شود) و استفاده از يك ليست مجاز براي اعتبارسنجي مقادير سرصفحه، از تزريق هدر جلوگيري كنيد.Session Injection و كوكي هاي ناامن

Session Injection نوعي تزريق هدر است. اگر مهاجم بتواند محتويات كوكي جلسه خود را دستكاري كند يا كوكي هاي شخص ديگري را بدزدد، هك با پايتون مي تواند برنامه را فريب دهد تا فكر كند كه شخص ديگري است. سه راه اصلي وجود دارد كه مهاجم مي تواند جلسه شخص ديگري را بدست آورد: ربودن جلسه، دستكاري در جلسه و جعل جلسه.