वेब अनुप्रयोग हैकिंग के तरीके

वेब एप्लिकेशन ऐसे प्रोग्राम हैं जो उपयोगकर्ताओं को वेब सर्वर के साथ बातचीत करने की अनुमति देते हैं। वे क्लाइंट- और सर्वर-साइड स्क्रिप्ट की मदद से वेब ब्राउज़र पर चलाए जाते हैं।

वेब एप्लिकेशन आर्किटेक्चर में निम्न शामिल हैं:

  • ग्राहक / प्रस्तुति परत
  • व्यापार तर्क परत
  • डेटाबेस लेयर

क्लाइंट / प्रस्तुति परत में डिवाइस होते हैं, जिस पर एप्लिकेशन चलता है। ऐसे उपकरणों में लैपटॉप, टैबलेट, स्मार्टफोन आदि शामिल हैं।


व्यापार तर्क परत में दो परतें हैं:


  • वेब-सर्वर तर्क परत जिसमें घटक होते हैं जो अनुरोधों और प्रतिक्रियाओं को संभालते हैं, और कोडिंग जो ब्राउज़र को डेटा पढ़ता और वापस करता है



  • व्यावसायिक तर्क परत जिसमें एप्लिकेशन डेटा शामिल है

डेटाबेस परत में एक बी 2 बी परत और एक डेटाबेस सर्वर होता है जिसमें संगठन का डेटा संग्रहीत होता है।



वेब अनुप्रयोग धमकी और हमलों

ओडब्ल्यूएएसपी एक खुला समुदाय है जो संगठनों को गर्भ धारण करने, विकसित करने, हासिल करने, संचालित करने और उन अनुप्रयोगों को बनाए रखने में सक्षम बनाता है जिन्हें भरोसा किया जा सकता है।

OWASP शीर्ष 10 परियोजना एक दस्तावेज़ का उत्पादन करती है जो शीर्ष 10 एप्लिकेशन सुरक्षा खतरों का वर्णन करती है।


नवीनतम दस्तावेज़ निम्नलिखित शीर्ष 10 सुरक्षा खतरों की सूची देता है:

इंजेक्शन

इंजेक्शन हमला एक ऐसा हमला है जिसमें हमलावर दुर्भावनापूर्ण डेटा को आदेशों और प्रश्नों में इंजेक्ट करता है जिन्हें फिर आवेदन में निष्पादित किया जाता है।

यह हमला इनपुट फ़ील्ड्स या एप्लिकेशन के प्रवेश बिंदुओं को लक्षित करता है और हमलावरों को संवेदनशील जानकारी निकालने की अनुमति देता है।

सबसे अधिक इस्तेमाल इंजेक्शन इंजेक्शन हैं:


  • एसक्यूएल इंजेक्षन एक हमला है जिसमें हमलावर दुर्भावनापूर्ण SQL प्रश्नों को एप्लिकेशन में इंजेक्ट करता है
  • कमांड इंजेक्शन एक हमला है जिसमें हमलावर दुर्भावनापूर्ण आदेशों को एप्लिकेशन में इंजेक्ट करता है
  • LDAP इंजेक्शन एक हमला है जिसमें हमलावर दुर्भावनापूर्ण LDAP कथनों को आवेदन में इंजेक्ट करता है

टूटा हुआ प्रमाणीकरण

टूटी प्रमाणीकरण प्रमाणीकरण और सत्र प्रबंधन में खतरों और कमजोरियों को संदर्भित करता है।

हमलावर इन कमजोरियों का फायदा उठाकर अपना निशाना बनाते हैं।

मौजूदा कमजोरियों में से कुछ में शामिल हैं:

  • URL में सत्र आईडी
  • अनएन्क्रिप्टेड पासवर्ड
  • समय-समय पर सेट अप करें

संवेदनशील डेटा जोखिम

संवेदनशील डेटा एक्सपोज़र का खतरा उन अनुप्रयोगों में होता है जो डेटा एन्क्रिप्शन और स्टोरेज के लिए कमजोर एन्क्रिप्शन कोड का उपयोग करते हैं।


यह भेद्यता हमलावरों को आसानी से एन्क्रिप्शन दरार करने और डेटा चोरी करने में सक्षम बनाती है।

एक्सएमएल बाहरी इकाई

एक्सएमएल एक्सटर्नल एंटिटी अटैक एक ऐसा हमला है जिसमें हमलावर खराब तरीके से कॉन्फ़िगर किए गए XML पार्सर का लाभ उठाते हैं, जिसके कारण एप्लिकेशन को एक अविश्वसनीय स्रोत से आने वाले XML इनपुट को पार्स करना पड़ता है।

टूटी पहुंच नियंत्रण

ब्रोकन एक्सेस कंट्रोल, एक्सेस कंट्रोल में खतरों और कमजोरियों को संदर्भित करता है। हमलावर प्रमाणीकरण से बाहर निकलने और व्यवस्थापक विशेषाधिकार प्राप्त करने के लिए इन कमजोरियों का फायदा उठाते हैं।

सुरक्षा गलतफहमी

सिक्योरिटी मिसकॉन्फ़िगरेशन उन कमजोरियों को संदर्भित करता है जो खराब कॉन्फ़िगर किए गए एप्लिकेशन स्टैक के साथ अनुप्रयोगों में मौजूद हैं।


सुरक्षा मिसकॉन्फ़िगरेशन भेद्यता के कारण होने वाली कुछ समस्याओं में शामिल हैं:

  • अनलिमिटेड इनपुट फ़ील्ड्स
  • फॉर्म और पैरामीटर हेरफेर
  • गरीब त्रुटि से निपटने

क्रॉस-साइट स्क्रिप्टिंग (XSS)

क्रॉस-साइट स्क्रिप्टिंग हमला एक ऐसा हमला है जिसमें हमलावर उन वेब पेजों पर स्क्रिप्ट्स को इंजेक्ट करता है जिन्हें लक्ष्य प्रणाली पर निष्पादित किया जाता है।

असुरक्षित देशीकरण

असुरक्षित deserialization एक भेद्यता को संदर्भित करता है जो हमलावर दुर्भावनापूर्ण कोड को अनुक्रमित डेटा में इंजेक्ट करके शोषण करता है जिसे फिर लक्ष्य पर भेजा जाता है।

असुरक्षित deserialization भेद्यता के कारण, दुर्भावनापूर्ण क्रमबद्ध डेटा का पता लगाए बिना दुर्भावनापूर्ण कोड का वर्णन किया जाता है, जो हमलावर को सिस्टम में अनधिकृत पहुंच प्राप्त करने की अनुमति देता है।

ज्ञात कमजोरियों के साथ घटकों का उपयोग करना

ज्ञात कमजोरियों वाले घटकों का उपयोग हमलावरों को उनका शोषण करने और हमलों को अंजाम देने की अनुमति देता है।

अपर्याप्त लॉगिंग और निगरानी

अपर्याप्त लॉगिंग और निगरानी तब होती है जब एप्लिकेशन दुर्भावनापूर्ण घटनाओं और गतिविधियों को लॉग करने में विफल रहता है। इससे सिस्टम पर हमलों का पता लगाने में कठिनाई होती है।



हैकिंग पद्धति

वेब एप्लीकेशन हैकिंग मेथडोलॉजी हमलावरों को एक सफल हमले को अंजाम देने के लिए कदम उठाने की सुविधा प्रदान करता है।

ये चरण हैं:

वेब इंफ्रास्ट्रक्चर फुटप्रिंटिंग

फुटप्रिंटिंग वेब इन्फ्रास्ट्रक्चर हमलावर को लक्ष्य वेब इन्फ्रास्ट्रक्चर के बारे में जानकारी इकट्ठा करने और उन कमजोरियों की पहचान करने में मदद करता है जिनका शोषण किया जा सकता है।

इस प्रक्रिया में, हमलावर प्रदर्शन करता है:

  • सर्वर की खोज सर्वर के बारे में जानने के लिए जो एप्लिकेशन को होस्ट करता है
  • किस सेवा पर हमला किया जा सकता है, यह निर्धारित करने के लिए सेवा की खोज
  • सर्वर के बारे में जानकारी जानने के लिए सर्वर की पहचान जैसे कि संस्करण और बनाते हैं
  • छिपी हुई सामग्री की खोज के लिए छिपी हुई सामग्री की खोज

वेब सर्वर हमला

फ़ुटप्रिंटिंग चरण में एकत्रित जानकारी हैकर्स को इसका विश्लेषण करने, शोषण करने के लिए कमजोरियों का पता लगाने और सर्वर पर हमलों को लॉन्च करने के लिए विभिन्न तकनीकों का उपयोग करने की अनुमति देती है।

वेब अनुप्रयोग विश्लेषण

हमलावर इसकी कमजोरियों को पहचानने और उनका फायदा उठाने के लिए लक्षित वेब एप्लिकेशन का विश्लेषण करते हैं।

एप्लिकेशन को हैक करने के लिए, हमलावरों को निम्न की आवश्यकता है:

  • उपयोगकर्ता इनपुट के लिए प्रवेश बिंदु पहचानें
  • डायनामिक वेब पेज बनाने के लिए उपयोग की जाने वाली सर्वर-साइड तकनीकों को पहचानें
  • सर्वर-साइड कार्यक्षमता की पहचान करें
  • हमले के क्षेत्रों और संबंधित कमजोरियों की पहचान करें

क्लाइंट-साइड नियंत्रण चोरी

हमलावरों ने उपयोगकर्ता इनपुट और इंटरैक्शन के क्लाइंट-साइड नियंत्रण को बायपास करने का प्रयास किया।

क्लाइंट-साइड नियंत्रणों को बायपास करने के लिए, हमलावर प्रयास करते हैं:

  • छिपे हुए प्रपत्र फ़ील्ड पर हमला करें
  • ब्राउज़र एक्सटेंशन पर हमला करें
  • स्रोत कोड की समीक्षा करें

प्रमाणीकरण हमलों

हमलावर प्रमाणीकरण तंत्र में मौजूद कमजोरियों का फायदा उठाने का प्रयास करते हैं।

ऐसी कमजोरियों का फायदा उठाकर, हमलावर प्रदर्शन करने में सक्षम हैं:

  • उपयोगकर्ता नाम गणना
  • पासवर्ड हमले
  • सत्र का दौरा
  • संचालन कुकी ने किया

प्राधिकरण के हमले

प्राधिकरण हमला एक हमला है जिसमें हमलावर एक वैध खाते के माध्यम से आवेदन तक पहुंचता है जिसमें सीमित विशेषाधिकार होते हैं और फिर विशेषाधिकार को बढ़ाने के लिए उस खाते का उपयोग करता है।

एक प्राधिकरण हमले करने के लिए, हमलावर निम्नलिखित स्रोतों का उपयोग करता है:

  • नफरत
  • पैरामीटर छेड़छाड़
  • डाटा डालो
  • HTTP हेडर
  • कुकीज़
  • छिपे हुए टैग

अभिगम नियंत्रण हमलों

हमलावर कार्यान्वित पहुंच नियंत्रण के बारे में विवरण जानने के प्रयास में लक्ष्य वेबसाइट का विश्लेषण करते हैं।

इस प्रक्रिया के दौरान, हमलावर यह जानने की कोशिश करते हैं कि किसके पास डेटा के कौन से सेट हैं, किसकी पहुंच किस स्तर तक है, और विशेषाधिकार कैसे बढ़ाएं।

सत्र प्रबंधन हमलों

हमलावर अपने लक्ष्यों को लगाने के लिए प्रमाणीकरण और सत्र प्रबंधन में कमजोरियों का फायदा उठाते हैं।

एक वैध सत्र टोकन बनाने की प्रक्रिया में दो चरण होते हैं:

  • सत्र टोकन भविष्यवाणी
  • सत्र टोकन छेड़छाड़

एक वैध टोकन के साथ, हमलावर MITM, सत्र अपहरण, और सत्र फिर से खेलना जैसे हमले करने में सक्षम हैं।

इंजेक्शन हमलों

दुर्भावनापूर्ण प्रश्नों और आदेशों को इंजेक्ट करने के लिए हमलावर अनवस्थित रूप से इनपुट का लाभ उठाते हैं।

अनुप्रयोग तर्क भेद्यता शोषण

गरीब कोडिंग कौशल अपने तर्क दोषों के कारण आवेदन को कमजोर बना सकता है। यदि हमलावर ऐसी खामियों की पहचान करने में सफल होता है, तो वे उनका शोषण करने और हमले शुरू करने में सक्षम हैं।

डेटाबेस कनेक्शन हमलों

हमलावर डेटाबेस पर नियंत्रण हासिल करने के लिए डेटाबेस कनेक्शन पर हमलों को अंजाम देते हैं और इस प्रकार संवेदनशील जानकारी तक पहुंच प्राप्त करते हैं।

वेब सेवा हमलों

हमलावर, वेब एप्लिकेशन में एकीकृत वेब सेवाओं को लक्षित करते हैं जो एप्लिकेशन की व्यावसायिक तर्क कमजोरियों को खोजने और उनका फायदा उठाने के लिए एकीकृत होती है।

वे फिर आवेदन पर हमले को अंजाम देने के लिए विभिन्न तकनीकों का उपयोग करते हैं।

दिलचस्प लेख