Aktualizuj wszystko co da się aktualizować. Twoja strona internetowa umieszczona jest na serwerze. Serwer posiada system operacyjny, na nim zainstalowane różnego rodzaju aplikacje serwerowe, php, bazę danych i na końcu tego wszystkiego Twoją aplikację. Aplikacja (strona internetowa) również składa się z innych modułów. Jak zdobyć pozycję na pierwszej stronie Google? Trzeba być lepszym od konkurencji na dane słowo kluczowe. W internecie Dawid może wygrać z Goliatem. Nie ma znaczenia to, czy jesteś małą firmą, czy gigantem, serwisem prasowym, czy początkującym blogerem (aczkolwiek istnieje coś takiego, jak autorytet strony, który sprawia, że pewne strony będą mimo wszystko osiągały lepsze Technik logistyk to nowy zawód poszukiwany na rynku polskim, ale i europejskim. Zadaniem logistyka jest planowanie, realizowanie i kontrolowanie gospodarowania zespołami ludzi oraz zasobami materiałów, surowców, produktów i ich przemieszczania w przestrzeni i czasie w ten sposób, aby osiągnąć jak najlepszy efekt dla firmy. Przede wszystkim, należy określić cel banera i jego grupę docelową. Następnie, trzeba wybrać odpowiedni format i rozmiar banera oraz zdecydować, czy będzie on statyczny czy animowany. Kolejnym krokiem jest wybór odpowiednich grafik i tekstu, które będą zawierał baner. 2. Wybieranie odpowiednich grafik i tekstu: W obu polach z URL wpisz adres swojej domeny z HTTPS na początku, czyli https://nazwamojejdomeny.pl: Po tym ustawieniu zapisz zmiany. Zostaniesz automatycznie wylogowany z panelu i musisz zalogować się ponownie, ale tym razem z użyciem adresu domeny i https, czyli https://nazwamojejdomeny/wp-admin. Vay Tiền Trả Góp 24 Tháng. Zapewne nie raz widziałeś strony internetowe, na których znajdowały się niepożądane treści, lub w wyszukiwarce został do adresu przypisany komunikat ostrzegający o zagrożeniu. Co zrobić, jeśli to Ty padniesz ofiarą hakerów? Temat włamań na strony internetowe jest dość często poruszany, zwłaszcza jeśli dotyczy poważnych serwisów wielkich firm, czy też systemów bankowych, lub takich, które przechowują wrażliwe dane, np. portale rządowe. Większość zagrożeń - tych mniejszych (czyt. mało medialnych) dotyczy jednak włamań przez roboty, które na serwerze umieszczają złośliwe pliki, wysyłają SPAM, bądź zmieniają na samej stronie treści, celem przekierowania użytkownika na inne, spreparowane serwisy, aby np. uzyskać ważne dane dostępowe. Po co hakerzy włamują się na strony internetowe? Złośliwe roboty są zaprogramowane przez hakerów w taki sposób, aby skuteczne odnajdywały luki w systemach zabezpieczeń stron internetowych, dzięki którym dochodzi do procesu złamania blokady. Stąd też uczula się właścicieli witryn, aby na bieżąco aktualizowali oprogramowanie. W sieci każdy narażony jest na ataki. Jak zorientować się, że serwis został zhakowany? Najbardziej zauważalne będą oczywiście zmiany bezpośrednio w publikowanych treściach. Nieco trudniej jest wpaść na inne czynności, prowadzone bezpośrednio z serwera, a ostateczną oznaką o wrogim działaniu będzie zniknięcie z wyszukiwarki. Ten ostatni przypadek najczęściej jest jednak poprzedzony wielotygodniowymi komunikatami w SERP'ach, że "Ta witryna mogła paść ofiarą ataku hakerów", lub też "Ta strona może wyrządzić szkodę na Twoim komputerze". Takie informacje skutecznie odstraszają potencjalnych użytkowników do odwiedzania, w obawie przed zawirusowaniem komputera. Efektem jest zatem zmniejszy ruch, obniżenie pozycji w Google i spadek sprzedaży. Jak rozpoznać zainfekowanie strony internetowej? W przypadku zainfekowania strony, pomocne może okazać się przeprowadzenie analizy np. w Google Search Console, czy też kontrola indeksacji witryny. Umieszczenie szkodliwych treści może objawić się też w postaci rosnącej liczby podstron, zwłaszcza przy sklepach internetowych. Roboty Google same dość szybko powinny wykryć zagrożenie, informując o tym fakcie stosownymi komunikatami. Jeśli mimo tego strona internetowa przez dłuższy czas nie zostanie oczyszczona ze złośliwego kodu, Google może ukarać nałożeniem filtrów, a w najgorszym przypadku - usunięciem z wyników wyszukiwań. Ataki hakerskie wymagają zatem szybkiej interwencji administratorów. Sposoby na ochronę strony internetowej Do ataków na strony internetowe dochodzi na różne sposoby - od kradzieży danych dostępowych (np. przez łatwe hasła), poprzez błędy w budowie strony (w kodzie), dziurawe dodatki (np. wtyczki), czy brak regularnego aktualizowania komponentów strony. Ofiarą działań hakerów może być każdy, nawet jeśli dana witryna nie posiada ważnych informacji. Wiele zagrożeń pojawia się niejako rykoszetem i słabe technicznie witryny nierzadko są tylko pośrednikiem, w celu atakowania z ich adresów innych lokalizacji w sieci. Niezabezpieczone konta hostingowe mogą służyć włamującym się np. do wysyłania wiadomości SPAM, czy też wysyłania zawirusowanych plików. Na niebezpieczeństwo narażona jest w zasadzie każda strona, jednak prawdopodobieństwo wystąpienia można ograniczyć. Jak? Priorytetem jest tworzenie skomplikowanych haseł dostępowych i ich okresowe zmienianie. Znacznie trudniej jest bowiem złamanie zabezpieczenia, mając unikalne, wieloznakowe hasło, aniżeli funkcjonujące z jakiegoś klucza - np. używając daty urodzenia, imion, czy nazwisk. Częstym błędem przez niedoświadczonych właścicieli stron jest pozostawienie automatycznie wygenerowanych haseł, typu "admin1234" itp. Na ataki złośliwych robotów narażone są chociażby darmowe systemy zarządzania treścią, a więc Wordpress czy Joomla, jeśli nie są na bieżąco aktualizowane. Autorzy tych mechanizmów regularne wydają uaktualnienia i poprawki, dlatego warto śledzić wszelkie doniesienia, aby w pewnym momencie nie zostać zaskoczonym. Inną godną polecenia czynnością jest bieżące wykonywanie backup'ów, czyli tworzenie kopii zapasowych strony internetowej. Nie jest wymagane wykonywanie tego ręcznie, bowiem najczęściej jest możliwość zautomatyzowania kopiowania plików, co znacząco może ułatwić naprawę serwisu, w przypadku niepożądanych ataków. Co zrobić w przypadku włamania na stronę? Tak jak wcześniej wspomnieliśmy - w sieci żadna strona internetowa i serwery nie są w pełni bezpieczne. Nawet na najbardziej zabezpieczone systemy prędzej, czy później pojawią się sposoby na ich złamanie. Co natomiast zrobić, jeśli Twoja witryna padła ofiarą złośliwego ataku z zewnątrz? Przywrócenie kopii zapasowej Jednym ze sposobów jest przywrócenie kopii zapasowej strony internetowej. Pod tym kątem istnieją różne rozwiązania posiadania plików, bowiem zdarza się, że to właściciele hostingu odpowiadają za regularne wykonywanie takich czynności. Jeśli jesteś w posiadaniu spakowanej wersji plików strony, trzeba je rozpakować i umieścić na serwerze, zamieniając te zarażone. Oczywiście najbezpieczniejszą opcją jest wówczas usunięcie wszystkich plików z dysku serwera i wgranie czystej wersji. W kwestii kopii zapasowych trzeba również mieć na uwadze, z jaką częstotliwością są wykonywane, bowiem liczba backup'ów może być mocno ograniczona (np. przechowywanie zaledwie jednego), a jeśli problem nie został wykryty od razu, to złośliwy kod może znajdować się już w kopii zapasowej. Usunięcie fragmentów kodu na stronie Innym sposobem na zażegnanie problemu jest wykrycie podejrzanych fragmentów kodu źródłowego i ręczne usunięcie ich z plików na serwerze. Jest to czasochłonne zajęcie i wymagające już większej wiedzy, dotyczącej budowy struktury witryny. Proces ten stanie się nieco ułatwiony, jeżeli znana jest dokładana data ataku. W przypadku kilku tysięcy podstron, ograniczy to grupę ewentualnych zarażonych plików do zweryfikowania, a dodatkowo pomóc w tym mogą programy antywirusowe. Po usunięciu śladów ataku złośliwych robotów, należy obowiązkowo zmienić hasła zarówno do serwera FTP, jak i kont administratorów. Ponadto warto przeanalizować wszystkie utworzone konta np. poprzez Google Search Console, czy przypadkiem w tym gronie nie ma jednak winnych całej sytuacji. Jeżeli wszelkie kłopoty zostały już przeanalizowane oraz zlikwidowane, można zgłosić stronę internetową do ponownej weryfikacji przez Google. Usprawni to i przyspieszy proces usunięcia komunikatu w wynikach wyszukiwania, informującego użytkowników o istniejącym zagrożeniu. Ataki na strony internetowe - podsumowanie Każda strona internetowa - nawet jeśli nie posiada wrażliwych danych, czy innych ważnych informacji - jest narażona na masowe zagrożenie nie tyle ze strony samych hakerów, co zaprogramowanych przez nich złośliwych robotów, wykorzystujących luki w zabezpieczeniu struktur serwisu. Warto zatem pamiętać o bieżącym aktualizowaniu oprogramowania i pilnowaniu danych dostępowych, co ograniczy prawdopodobieństwo, że Twój serwis padnie ofiarą ataków. array(26) { ["tid"]=> string(6) "177405" ["fid"]=> string(2) "10" ["subject"]=> string(34) "Jak wstawić stronę do internetu?" ["prefix"]=> string(1) "0" ["icon"]=> string(1) "2" ["poll"]=> string(1) "0" ["uid"]=> string(5) "69278" ["username"]=> string(6) "guma13" ["dateline"]=> string(10) "1252086584" ["firstpost"]=> string(7) "1328470" ["lastpost"]=> string(10) "1252751385" ["lastposter"]=> string(6) "guma13" ["lastposteruid"]=> string(5) "69278" ["views"]=> string(5) "10822" ["replies"]=> string(1) "8" ["closed"]=> string(0) "" ["sticky"]=> string(1) "0" ["numratings"]=> string(1) "0" ["totalratings"]=> string(1) "0" ["notes"]=> string(0) "" ["visible"]=> string(1) "1" ["unapprovedposts"]=> string(1) "0" ["deletedposts"]=> string(1) "0" ["attachmentcount"]=> string(1) "0" ["deletetime"]=> string(1) "0" ["mobile"]=> string(1) "0" } Internet na dobre wpisał się w krajobraz naszej codzienności, a z każdym miesiącem coraz bardziej miesza się z naszą rzeczywistością. Niektóre typy stron mogą być sukcesywnie zastępowane przez dobrze prowadzone konta w portalach społecznościowych, ale jednak warto mieć swoją wizytówkę w sieci. A jak założyć własną stronę internetową? Cóż, na to pytanie nie ma jednej poprawnej odpowiedzi. Wszystko zależy od tego, jaką rolę ma ona pełnić. Stworzenie własnej strony internetowej Tworzenie stron internetowych na przestrzeni ostatnich kilkunastu lat bardzo się zmieniło. Prawdopodobnie nie jestem jedynym, który próbując swoich sił w temacie na początku XXI wieku musiał liznąć odrobiny komend i kodów. Jasne, można było korzystać z pomagających w temacie edytorów ze stałym podglądem i czytelnym interfejsem, ale wszyscy którzy pamiętają efekt finalny stron np. w Microsoft Front Page chyba zgodzą się z tym, że nie była to gra warta świeczki. Dlatego też jeszcze kilka-kilkanaście lat temu wymagało to dużo większych nakładów pracy, brakowało platform pozwalających stworzyć w pełni funkcjonalną stronę bez napisania chociażby jednej linijki kodu. Teraz takowych nie brakuje — co ważne, nie mowa tylko o prostych wizytówkach, ale w pełni działających portalach, które możemy w dużej mierze dostosować do własnego widzimisię. Zobacz też: Jak założyć Facebooka. Wszystko co musisz wiedzieć Strona internetowa na własnym serwerze Jeżeli chcielibyście stworzyć stronę internetową od zera — warto rozpocząć od wyboru odpowiedniej usługi hostingowej. Na rynku są dziesiątki firm oferujące przestrzeń na serwerach. Porównajcie ich warunki i pakiety które mają do zaoferowania, a po zakupie serwera można przejść do tworzenia własnego miejsca w sieci. Czy to oznacza że nie ma darmowych hostingów? Są, jednak często korzystanie z nich wiąże się z zestawem braków i ograniczeń, które raczej nie przypadną nikomu do gustu. Strona internetowa: od zera czy na gotowym silniku? Nie jest prawdą, że strony internetowe pisane w całkowicie od zera odeszły w zapomnienie. Warto jednak być świadomym, że ręczne aktualizowanie w kodzie jest... po prostu niewygodne. Dlatego o ile stworzenie w ten sposób statycznej strony na której nie planujemy regularnych aktualizacji (albo planujemy je bardzo rzadko) ma sens, o tyle w przypadku całej reszty tworzenie strony od zera w ten sposób będzie po prostu niepraktyczne. Tutaj idealnie sprawdzą się proste wizytówki, portfolia czy strony z krótkimi ofertami. Zainteresowani większym pakietem rozwiązań powinni zainteresować się czymś bardziej rozbudowanym. I tutaj przychodzi z odsieczą druga z opcji na własnym serwerze. Chodzi o jeden ze sprawdzonych silników, czyli tzw. CMS (ang. Content Management System) -- czyli po prostu systemów zarządzania treściami. Pozwolę one w wygodny sposób zarządzać zawartością serwisu, rozbudowywania go i dodawania kolejnych elementów bez konieczności zaglądania do kodu strony. Wszystko w prostej i czytelnej formie, w której techniczne aspekty schodzą na dalszy plan, a użytkownicy dobrze przygotowanej strony muszą skupić się wyłącznie na jej treści. Trzeba jednak liczyć się z tym, że w przypadku tworzenia własnego designu i dostosowywania go do potrzeb silnika, potrzebna będzie dużo większa wiedza, niż przy prostych, samodzielnie aktualizowanych, stronach. Na szczęście z pomocą przychodzą nam tutaj zestawy gotowych skórek, których dla najpopularniejszych rozwiązań nie brakuje. Zarówno tych darmowych, które w dużym stopniu możemy przystosować do własnych potrzeb (zmieniając grafiki, kolory itd.), jak i tych do których dostęp możemy wykupić za stosunkowo niewielkie pieniądze. Niewielkie, oczywiście, z porównaniem do kosztów, które musielibyśmy ponieść korzystając z usług profesjonalistów. Do najpopularniejszych systemów CMS dostępnych za darmo należą WordPress, Drupal i Joomla! Jeżeli będziecie zainteresowani stworzeniem własnej witryny na wykupionym wcześniej serwerze, to w sieci znajdziecie tysiące rozmaitych poradników, których autorzy pomogą wam od podstaw zgłębić temat. Warto też pamiętać, że korzystając z własnych rozwiązań mamy pełny dostęp do strony WWW, jej kodu, reklam które nań zamieszczamy itp. Ta władza to jeden z elementów, które wyróżniają je na tle kolejnej kategorii, czyli witryn zakładanych za pośrednictwem paru kliknięć na popularnych hostingach. Darmowa strona internetowa zakładana na popularnych hostingach Tworzenie własnych serwisów internetowych w dzisiejszych czasach może być też niezwykle proste. Nie trzeba pisać kodu, ba, nie trzeba nawet kupować serwera ani instalować na nim żadnego popularnego silnika. Jako idealne przykłady takich rozwiązań mogą posłużyć nam jedne z najpopularniejszych usług tego typu — oraz Prawdopodobnie każdy z was nie raz i nie dwa korzystał z serwisów / blogów, które znajdują się na tych domenach. Założenie tam własnej strony WWW to, dosłownie, kwestia przebicia się przez kilka formularzy przy zakładaniu strony. Korzystanie z takich usług ma wiele plusów (nie potrzeba zgłębiać technicznych aspektów, to nic nie kosztuje, wszystko trwa krótką chwilę). Niestety — automatycznie trzeba też liczyć się z ich ograniczeniami. Owszem, podepniemy do nich swoje domeny, ale przez brak dostępu do serwera i wielu elementów strony, stworzenie satysfakcjonujących nas modyfikacji może być kłopotliwe — szczególnie odczują to właściciele blogów / stron w domenie Strona internetowa w abonamencie Poza powyższymi, ostatnie lata przyniosły nam także serwisy w których możemy dowolnie łączyć ze sobą komponenty i tworzyć strony za pomocą prostego przepuść i upuść. Większość z nich niesie za sobą sporo ograniczeń, ceny abonamentów także prawdopodobnie też nie wszystkich zachęcą. Trzeba jednak przyznać, że potrafią one wyglądać naprawdę efektownie. Do takich usług należą Wix, SiteBuilder, BigCommerce, Bitrix, Mozello, IMCreator, DoodleKit czy Weebly. Niektóre z nich pozwalają nawet pobrać stworzone za pośrednictwem ich edytorów efekty i zamieścić na własnym hostingu, tworzenie jest dziecinnie proste... a z każdym dniem przybywa tam coraz więcej opcji. To nie tylko portfolia i szeroko pojęte wizytówki, ale istnieje także opcja stworzenia za ich pośrednictwem sklepów internetowych. Trudno obecnie mówić o stronie internetowej bez kontekstu. Przede wszystkim dlatego, że współcześnie można wymienić co najmniej kilka ich rodzajów. A w przypadku rozmyślania o stworzeniu portalu informacyjnego czy poczytnego bloga, to puszczenie ich w świat jest dopiero początkiem wielkiej przygody. Musicie być gotowi na wiele godzin pracy nad kolejnymi aktualizacjami czy zgłębieniem wiedzy związanej z jej pozycjonowaniem, aby wszyscy korzystający z popularnych wyszukiwarek mogli na nią trafić według wskazanych przez was fraz kluczowych. W przypadku prostych stron-wizytówek, portfolio czy też z zestawem firmowych ofert sprawy są odrobinę łatwiejsze — jednak w ich przypadku też nie warto zaniedbywać kwestii pozycjonowania. Przecież internet to miejsce, w którym można znaleźć potencjalne grono nowych klientów, którzy będą gotowi skorzystać z naszej unikalnej oferty. Jak widać współczesny internet oferuje cały zestaw opcji związanych ze stworzeniem własnej strony internetowej. Cały pakiet generatorów z pewnością pomoże wszystkim, którzy są kompletnie zieloni w temacie. Do tego dochodzą jeszcze strony internetowe które po kilku minutach można zacząć zapełniać treścią. Nie brakuje też darmowych rozwiązań CMS, które pozwolą stworzyć ogromne serwisy, którymi zarządzać będziecie mogli bez napisania chociaż jednej linijki kodu. Do tego dodajcie cały zestaw samouczków, poradników, dodatkowych skryptów i rozwiązań, które pozwolą wam przygotować stronę waszych marzeń... Grafika: 1, 2, 3, 4 Dzisiejszy wpis rozpoczyna cykl poradników o webhackingu. W tym kursie będziemy pisać i mówić językiem od ludzi, dla ludzi! Jeśli interesuje Cię bezpieczeństwo stron internetowych, audyty informatyczne (bezpieczeństwa) lub po prostu prowadzisz swoją stronę internetową albo jesteś początkującym programistą PHP/HTML/JS/technologi sieciowych to dobrze trafiłeś! W każdym wpisie z cyklu hackingu stron www na naszym blogu, pokażemy jeden rodzaj ataku. Ataków jest bardzo wiele, mogą dotyczyć samego hostingu, pojedynczej strony www a nawet serwerów DNS. Cały kurs będzie przeznaczony dla początkujących hakerów i zatytułowaliśmy go roboczo „od zera do megahakera„. Nie jesteśmy prawdziwymi profesjonalnymi hakerami, traktujemy to bardziej jako zabawę i nauke. Jeżeli chcecie osiągać jakieś sukcesy w branży IT bądź hackingu, warto już na wczesnym etapie swojego rozwoju tak podchodzić do sprawy i uczyć się uczyć się i uczyć się – to tylko informatyka (albo aż:)). Do wpisu dołączony jest również zupełnie za darmo zestaw skryptów szkoleniowych i film wideo (oczywiście w naszym ojczystym języku uzupełniający zagadnienie ataków XSS :)) Gotowy na pytanie” jak włamać się na stronę internetową”?Kurs hackingu – jak włamać się na stronę internetową, czyli jaka wiedza jest mi potrzebnaAby rozpocząć zabawę w webhacking potrzebna jest podstawowa wiedza programistyczna (inaczej z miejsca nie ruszysz+oprogramowanie oczywiście do trenowania) z zakresu:podstaw HTMLpodstaw PHPzagadnienia bazodanowe (na początek SQL)przydatna jest też znajomość znajomość zagadnień internetowych (obsługi stron www:))dodatkowo program XAMPP lub dowolny serwer w celu przećwiczenia sobie i przeglądarka internetowa taka jak FirefoxMetod ataku na strony www jest bardzo wiele i należy pamiętać że nie każda strona jest podatna na każdy atak, należy zdać sobie sprawę, że większość stron jest w miarę dobrze zabezpieczonych ale do przejścia (jeśli znajdziesz lukę farciarzu:)!). Luk szuka się najczęściej ręcznie lub za pomocą wyspecjalizowanych narzędzi wspomagających audyty bezpieczeństwa. Dostępne są też bazy danych z exploitami (troszke o tym w naszym wpisie NMAP – skaner portów).W każdym wpisie pod koniec postaram się pokazać jak można w miarę możliwości zabezpieczyć nasz prywatny skrypt przed tego typu atakami. Cykliczność oznacza, że będzie ten kurs kontynuowany w przyszłości. Również w miarę możliwości postaramy się tworzyć filmy do niego oczywiście z komentarzem po PL, mamy dość pseudo-crackerów dzieci, które kręcą filmy na YouTube z metodami które nie działają a mają za zadanie albo zdenerwować odbiorce, albo zarazić programem imitującym narzędzia do hakowania (np: wszelkie facebook hackery). Postaramy się również pisać dla ludzi – a więc chłopski język to podstawa (nie nie chodzi o język zastosowany w „Chłopach”, Władysława Reymonta). Dołączone będą również kody źródłowe gotowe do ataku, aby sobie samemu przećwiczyć na swoim komputerze (wymagany XAMPP lub własny hosting). Pamiętaj że bez znajomości podstaw HTML, PHP, SQL i JS nie ruszysz XSS na stronę WWWWięc czym jest XSS (pełna nazwa to cross-site scripting)?Uproszczony schemat ataku XSSWyobraź sobie że jesteś programistą lub autorem strony internetowej. Internauta ma do dyspozycji na Twojej stronie funkcje pozwalające potocznie mówiąc „dodawać treść”, która następnie jest wyświetlana, przykładowo może być to:księga gościmikroblog (twitter) dla gościsystem komentarzy umożliwiający każdemu lub zarejestrowanym komentować daną treść/ użytkownikówwiele wiele wiele więcejtablica na fejsie (OHH Ty hakerze! Życzę i Tobie odnalezienia podatności XSS w skryptach fejsa, można nawet dostać za to prawdziwe pieniądze z programu Facebook Bug Bounty :))Atak polega na nie przewidzeniu przez projektanta danej strony/skryptu możliwości umieszczenia oprócz komentarza/treści/itd dodatkowego kawałka swojego kodu HTML/JavaScript/itd. Jeżeli wpisujemy w formularz zamiast samej treści tag HTML pogrubiający tekst :Tutaj jest treść po wyświetleniu jest on pogrubiony (chodzi o słowo „komentarza”). To strona jest poddana na atak typu XSS (osadzania własnego kodu na oczywiście nie własnej stronie www). Pół biedy jeśli dane nie są zapisywane jawnie (tak jak w wyszukiwarkach, choć i wtedy można dokonać pewnego ataku) i tylko my widzimy wyświetlony tekst (ale gdy odświeżymy to znika), gorzej jeżeli to co napisaliśmy jest gdzieś przechowywane i wyświetli się nam i innym (np: w amatorskich księgach gości). A już gorzej być dla autora strony nie może, gdy da się osadzać kod JavaScript… więc warto nauczyć się choć trochę tego języka z darmowych kursów JavaScript dostepnych w pomocą JavaScriptu możemy między innymi:przekierowywać użytkowników na inną stronę (zamiast obejrzeć komentarze użytkownik strony zostanie wysłany heń daleko)zmieniać dowolnie wygląd strony (praktycznie każdy element)sprawić że pojawi się animacja śniegu na stroniewyświetlić fajne komunikatywykraść pliki cookies i dzięki nim zalogować się na administratora lub innych wiele więcej…Oczywiście przekierować użytkownika możemy również na fałszywą stronę phishingową, wyglądającą identycznie jak atakowana, być może się zaloguje? Zrozumiesz to gdy obejrzysz filmik dołączony do wpisu. 🙂 Więcej o phishingu w wpisie jak włamać się na mamy taki oto uproszczony kod na naszej stronie (równie dobrze może być to funkcja komentowania wpisów na czyimś blogu):Od "lamera do superhakera" - #1 Atak XSS Wpisz co chcesz: Co się stanie jak umieścimy taki oto kod w formularzu?Wpisze sobie cos albo NIC!Czy na pewno projektant chciał, aby użytkownicy w komentarzach dołączyli swój kod i dodali za pomocą znacznika np obrazki, bądź psuć wygląd strony autora za pomocą innych tagów html/js? Na pewno nie! Jak pomyślimy logicznie to, gdyby komentarz wpisany powyżej był zapisywany gdzieś w bazie danych/pliku to powinien zostać wyświetlony wszystkim internautą (łącznie z autorem strony). Jest to PRAWDA! Włamywanie się na strony www okazuje się nie zawsze jest takie trudne jeżeli na to wpadłeś sam!Czy to jest już koniec możliwości? NIE! XSS można wykorzystać do przejęcia kont użytkowników lub nawet administratora danej strony za pomocą ciasteczek (raczej ich wykradnięcia poprzez przekierowanie zademonstrowane w tym wpisie za pomocą JS). Więcej o ciasteczkach w przyszłych cross-site scripting – JavaScriptJavaScript jest językiem programowania umożliwiającym wykonanie wiele bardzo ciekawych „akcji” przez przeglądarkę (łącznie z liczeniem). Zbiór ciekawych skryptów w JavaScripcie możecie znaleźć w swojej wyszukiwarce. DYGRESJA: Jeśli już programowałeś to podpowiem Ci że JavaScript się nie kompiluje gdzieś tam na serwerze, ale wykonuje go przeglądarka www internauty na jego prywatnym komputerze taka jak FireFox, Chrome, Opera. Na czym polega ten atak XSS z JavaScript, bo już nie wiem!? Na tym samym – umieszczeniu skryptu JS na stronie. Tyle że skrypt JS nie dość, że nie jest widoczny przez użytkownika (zależnie od funkcji którą użyjemy, JS jest widoczny w kodzie strony jeśli go podejrzymy) to może dodatkowo Nas nawet Nas przekierować wraz z kilkoma danymi od użytkownika takimi jak ciasteczka, godzina komputera i wiele więcej…Przykładowe funkcje:alert("Witaj = " funkcja alert() wyświetli monit o danej treści (czyż nie jest to złośliwe)? Druga natomiast, każe przeglądarce bez żadnego pytania przekierować użytkownika przeglądarki na stronę Pamiętaj że jeżeli będzie to księga gości… oberwie każdy użytkownik ją przetestowałem w najnowszym na dzień dzisiejszy Firefox’ie (ponieważ chrome niedawno wprowadziło w przeglądarce mechanizm anty-XSS, lecz jest prosty do obejścia… więcej w googlu najwyżej nie oberwą użytkownicy Chrome, chyba że dane są zapisywane to jak zobaczycie na filmiku nie wiele Chrome chroni (jedyne co to użytkownika przed wykradaniem ciasteczek ale i to da się obejść)) :).Przypuśćmy że mamy oto taką stronę internetową (dostępna w zestawie szkoleniowym dalej): Od "lamera do superhakera" - #1 Atak XSS Wpisz co chcesz: Co możemy przykładowo zrobić za pomocą JavaScriptu? Podmienić logo na inne, aby skompromitować autora strony. Wystarczy mówiąc w przenośni zmodyfikować pierwszą linijkę kodu z odnośnikiem do obrazka i zmienić na dowolnie inny, jak wymieniałem wcześniej kilka możliwości JS jest to możliwe w ten sposób (wpisując w formularz): = ' do zdjęcia wyszukałem w google, można wrzucić swój obrazek na stronę taką jak fotosik lub imageshack i umieścić go na stronie ofiary, możesz również wykorzystać swój serwer (jakiś tani hosting z domeną), lecz nie jest to za pomocą obiektu document, metody getElementById pobieramy uchwyt do danego elementu na stronie (w tym przypadku do obrazka bo jest w nim id=”logo”) a następnie wykorzystując atrybut .src (ścieżki do zdjęcia) zmieniamy go na dowolny adres. Możemy tak edytować każdy element na hostingu www (danej stronie internetowej), wystarczy że znamy troszeczkę html, javascript i css. Strona po ataku:Zaraz zaraz… ale przecież tylko ja widzę to zdjęcie…Tak to fakt – dane nie są zapisywane, ale jeśli skrypt byłby prawdziwą księgą gości, bądź dowolną funkcjonalnością co zapisuje a następnie wyświetla ogółowi nasz komentarz/obojętnie co, to zobaczą to wszyscy odwiedzający stronę. Taki skrypt treningowy znajduje się nieco dalej do pobrania w treningu hackingu tylko formularze HTML są narażone na atak XSS?Nie! Również parametry przekazywane za pomocą adresu strony www (metody GET) jeżeli są zapisywane=to są groźne! Przykładowo taki link: miejscu parametru dodaj= wstrzyknęliśmy skrypt JS. Przykładowo w poprzednich skryptach wystarczy zmienić echo $_POST[’wpisane’]; na echo $_GET[’wpisane’]; i odwoływać się zamiast formularza w ten sposób (skrypt dostępny w zadaniu domowym do pobrania zupełnie za darmo!):localhost/ domowe z ataku XSS – DOWNLOAD!Przygotowałem również dla Was szkoleniowy skrypt hakerski (taka darmowa szkoła hakerów :)), który zapisuje komentarze w pliku tekstowym a następnie je wyświetla, jest to super prosty skrypt i nie używa bazy danych, ale świetnie obrazuje atak. Atak na wielkie strony praktycznie nie odbiega od tego zaprezentowanego. Wystarczy go wrzucić do folderu XAMPP (wybieramy w programie start dla Apache, a gdy zmieni się kolor na zielony wybieramy Explore i wrzucamy do folderu htdocs pliki, możemy również wykorzystać swój darmowy serwer ftp taki jak się pobawić JavaScriptem i HTML (wiele tutoriali na temat tych języków dostępnych jest w internecie za darmo) . Skrypt zawiera oczywiście (przykłady powyższe+ księga gości w php):Przykładowy skrypt szkoleniowy XSS księga gości >>>Pobierz skrypt treningowy = 'pink';Jeśli znasz htmla to nawet bez znajomości JS zmienisz i inne elementy intuicyjnie, a że komentarze są zapisywane to zmiany są widoczne przez wszystkich. Jeżeli chcesz usunąć zmiany ze skryptu wystarczy usunąć plik (on je przechowuje), który znajduje się obok plików dzisiaj ataki XSS mają sens?TAK! Nawet dzisiaj wiele stron jest podatnych na ataki XSS takich jak nawet onet, wp, demotywatory i ich klony, starsze i obecne wersje wordpressa, CMS, wtyczki do CMS (w tym rządowych, niedawno nawet na facebooku było kilka publicznych podatności XSS). Wiele nowych podatności XSS różnego typu oprogramowań dostępnych jest na się przed XSSZabezpieczanie skryptów przed cross-site scripting w teorii jest proste (w praktyce trudniejsze, bo trudno przewidzieć co wpisze użytkownik, nawet jak coś filtrujemy często da się to obejść znakami specjalnymi) – filtruj wszystkie dane przesyłane przez użytkownika. Używaj JavaScript do walidacji formularzy (lecz tylko na tym nie polegaj, bo napastnik może zmienić kod walidacyjny ponieważ jest on dostępny w kodzie html), z poziomu PHP możesz używać takich funkcji jak addslashes(), htmlspecialchars(), strip_tags() bądź własnej obsługi video szkoleniowy uzupełniający wpis XSSWideo jest do pobrania w zakładce haker filmy lub bezpośrednio tutaj: atak część nr 2 wpisu o metodach ataków na strony wwwPoniżej znajduje się kolejna część cyklu metod audytowania bezpieczeństwa stron internetowych i ich zabezpieczania przed włamać się na stronę internetową? | KURS UPLOADERA #2PodsumowanieDziękuje za przeczytanie pierwszego wpisu z cyklu podstaw webhackingu. Teraz już znasz jedną (do tego najpopularniejszą i najczęściej występującą) metodę włamań na strony internetowe www. Mam nadzieje, że podobał Wam się zarówno wpis jak i filmik (kręcony późną porą).Jeśli myślisz że hacking www i luki z podatnością XSS nie występują/nie istnieje, to bardzo się mylisz… po prostu portale są tak duże, że ciężko je znaleźć (kilka lat temu w wujku google była również luka XSS) i białym kapeluszą i hakerą – black hat. To już koniec pilotażowego wpisu od lamera do megahakera. Podobało się?Może zainteresuje Cię jeszcze:Jak włamać się na gadu-gaduRóżne metody hakowania facebook Dodatkowo polub nas na Fejsie TUTAJ, aby być na bieżąco! Pozdrawiamy! 🙂 Czy da się stworzyć własną stronę internetową z mniej niż 200 zł? Tak, można tego spokojnie dokonać. Jeśli dobrze zaplanuje się wydatki i poświęci odpowiednią ilość czasu, to nie powinno to sprawić większego problemu. Zatem nie pozostaje nic innego jak zakasać rękawy i wziąć się do pracy! Przeczytaj poradnik jak zrobić własną stronę internetową nie wydając przy tym bajońskich sum. Jedyny konieczny wydatek – 100 zł Oczywiście jakby się uprzeć to nie musimy nawet wydawać pieniędzy na hosting i domenę, gdyż możemy skorzystać z darmowych rozwiązań. Jednak wtedy nasza strona nie będzie odbierana jako poważna i profesjonalna. Bardziej poważane są domeny z końcówkami płatnymi, czyli: Dodatkowo zarządzanie stroną będzie znacznie prostsze, mając do dyspozycji profesjonalny hosting. Ile zapłacimy? Możemy zapłacić bardzo mało. Nawet w okolicach 30 zł za domenę + hosting za pierwszy rok. Jest to dobra opcja dla wszystkich, którzy mają nóż przy szyi i potrzebują pilnie swojej strony za małe pieniądze. Jednak trzeba czytać dokładnie umowy w takich przypadkach, gdyż odnowienie hostingu i domeny w następnych latach zwykle będzie kosztowało bardzo dużo. Dużo lepszym rozwiązaniem jest podpisanie zwykłej umowy, gdzie cena na start będzie nieco większa niż w opisywanej wcześniej opcji, ale przedłużenie umowy w następnych latach będzie kosztowało znacznie mniej. Dzięki temu w dłuższym okresie sporo zaoszczędzimy. Powinniśmy tutaj wydać około 100 złotych na domenę i hosting. Często z w cenie dostaniemy automatycznie wgrany na naszą stronę system zarządzania treścią np. WordPress. Co będzie dla nas na rękę. WordPress – 0 zł Jeśli przy zakupie domeny i hostingu wgrano nam automatycznie WordPress’a to zaoszczędzono nam pracy. Dlaczego będziemy korzystać z niego? Ponieważ jest najpopularniejszy i łatwo można nauczyć się jego obsługi. Nawet jeśli nie będziemy wiedzieć jak coś zrobić, to szybko odnajdziemy w sieci jakiś poradnik na ten temat, który pomoże uporać się nam z problemem. Jest to system zarządzania treścią, który możemy za darmo obsługiwać samodzielnie. Szablony – 0 zł lub 45 zł Kolejnym krokiem po wgraniu WordPress’a będzie dobranie odpowiedniego szablonu graficznego. Mamy tutaj do wyboru szeroki wachlarz opcji płatnych, jak i darmowych. Jeśli dobrze poszukamy, to z pewnością znajdziemy coś atrakcyjnego wizualnie za darmo, czego będziemy mogli użyć na naszej stronie. Natomiast jeśli chcemy mieć coś oryginalnego, to możemy poszukać płatnego szablonu. Z pewnością do 45 złotych znajdzie się coś odpowiedniego. Oczywiście nie będzie to dzieło sztuki, ale będzie wyglądało dobrze. Wtyczki – 0 zł Ogromną zaletą CMS WordPress jest jego baza wtyczek. Tutaj tak jak i z szablonami mamy opcje wyboru darmowych wtyczek, a także takich, za które trzeba zapłacić. Aby nasza strona dobrze działała, potrzebujemy niektórych wtyczek. Przyda się taka, dzięki której stworzymy kopię zapasową naszej strony. Także używając odpowiedniej wtyczki, łatwiej będzie nam wprowadzić RODO na naszej stronie. Ogólnie wtyczki sprawią, iż nasza strona będzie sprawniej działała i lepiej wyglądała. Teksty na stronę – 0 zł lub 45 zł Nasza strona nie obejdzie się bez odpowiednich treści na niej. Tutaj możemy zaoszczędzić i napisać wszystko samodzielnie. Warto będzie skorzystać w dodatkowej wiedzy na temat pisania tekstów na strony www przy użyciu zasad SEO. Takie darmowe informacje znajdziemy w internecie na różnych stronach, blogach czy forach. Również możemy poszukać odpowiednich książek w bibliotekach. Inna opcja to zatrudnienie copywritera, który stworzy profesjonalne treści na naszą stronę. Oczywiście od tego ile możemy zapłacić, zależy jakość tekstów, ale często i tak nawet tanie teksty od specjalisty będą lepsze od naszych, więc warto wydać na nie pieniądze. Nam zostało 45 zł, co daje nam przy założeniu 3 zł za 1000 znaków ze spacjami = 15 tys. zzs. Powinno wystarczyć na początek. Podsumowanie naszych dwóch opcji – 100 zł i 190 zł Tania opcja to zakup tylko domeny i hostingu za 100 zł. Całą resztę robimy sami. Natomiast opcja droższa, czyli wydanie 190 złotych to zakup domeny, hostingu, płatnego szablonu graficznego oraz 15 tys. znaków ze spacjami wystukanymi przez copywritera. Tak czy inaczej, wydaliśmy mniej niż 200 złotych!

jak wlamac sie na strone internetowa