我熟悉黑客这个词。虽然我永远不会成为那些欺骗人或制造麻烦的黑客之一,但我相信任何自称为程序员的人都必须能够做到这一点,因为这主要是解决问题。但它是如何工作的?当那些人破解游戏或网站或黑客入侵的人时,他们会使用像ANSI C或c ++或汇编这样的编程语言。假设他们使用编程语言,是否可以使用javascript以与使用任何其他语言进行黑客攻击相同的方式进行攻击。此外,你还需要做些什么才能入侵。我只是想知道它是如何工作的,以及它背后的理论。
答案 0 :(得分:67)
黑客每次都是独一无二的。利用某些类型的漏洞根本不需要任何特定语言。有时你会以任何语言或形式破解那里的任何东西。有时需要自动化部分流程,例如密码破解,您可以使用任何您喜欢的语言。
破解商业游戏通常需要研究其disassembled机器代码,找出CD或许可证检查的哪个部分,并手术替换代码的几个字节,以便跳过检查。
攻击网站通常涉及发现开发人员的一些小笨拙,这允许查看应该是私有数据,或者如果没有正确清理数据则允许执行自定义代码。 SQL injection是发送到数据库的值未在引号(“...”)内得到适当保护的常见缺陷,因此您可以给出超出引号的值以执行您自己的命令。 Cross-site scripting是一种使用JavaScript的黑客攻击:如果网站盲目地从URL或提交的表单数据中获取参数并将其显示在页面上而不将它们安全地编码为文本(令人担忧的常见),则可以提供<脚本>用于在该页面上执行的标记。导致某人访问此类URL允许代表他们执行脚本操作。如果草率代码允许访问类似eval的函数,或者如果服务器配置错误允许服务器解释用户上载的文件,则可以在服务器端使用PHP(或Perl或类似代码)进行代码注入作为脚本。
远程攻击操作系统或服务器程序可能会利用其处理网络命令的错误。错误处理格式错误的网络命令可能会导致用户身份验证检查失败甚至直接执行网络数据包中提供的代码,例如通过buffer overflow。
Web浏览器,插件和文档查看器中的错误类似。什么是安全类型的文件可以使用非标准或破坏的值来制作。如果程序员忘记安全地处理这些情况,他们通常可以用来逃避文件类型的正常限制。
病毒也可以通过USB记忆棒或CD的物理交换滑到机器上,或说服某人安装带病毒的软件。这些病毒通常是为了各种目的而重新编写的(以避免使用防病毒软件),但有一些常见的可用。
加密较弱或实施不当可能允许对加密数据或密码进行强力解码。不存在的加密可以允许直接窃听数据。缺少加密还可以允许将未经身份验证的命令发送给用户或服务器。
非常明显的密码或未更改的默认密码可能允许简单的猜测进入系统。有些人到处都使用相同的密码。这使网站能够简单地进入用户的电子邮件帐户,然后控制与其相关的所有内容。这也意味着一个不安全的网站上的密码泄漏可能会被用来访问许多其他网站上的帐户。
有时,“黑客”是social engineering。例如,想象一下打电话给一名初级员工并伪装成负责人,欺骗他们泄露内部信息或重置密码。网络钓鱼电子邮件是一种常见的半自动化社交工程形式。
突破系统很少只是其中一个步骤。这通常是一个漫长的过程,分析系统,识别小缺陷并利用它们来查看是否暴露了有用的攻击向量,然后从中扩展以获得更多访问权。
当然,我从来没有这样做过。
答案 1 :(得分:2)
javascript可能存在一种“黑客攻击”。您可以从地址栏运行javascript。在此网站上尝试在地址栏中输入javascript: alert("hello");。
这样就可以劫持局部变量,例如cookie。
但是因为javascript在客户端运行。人们必须使用您的工作站才能访问您的cookie。这是一种可以用来改变登录数据并假装成其他人的技术(如果网站构建不当)。
如果您真的想了解更多相关信息,可以在此处找到一些“javascript黑客入门课程”:http://www.hackthissite.org/pages/index/index.php
答案 2 :(得分:1)
旁注,黑客和破解之间存在差异。参考:http://en.wikipedia.org/wiki/Hacker_(programmer_subculture)
有许多漏洞可以使用javascript,可能最知名的就是跨站点脚本(XSS)。
http://en.wikipedia.org/wiki/Cross-site_scripting
为了跟进Michael的回答,最好知道软件中的漏洞以及人们如何利用这些漏洞来防范这些漏洞,但是黑客并不是你想要知道的。
答案 3 :(得分:1)
首先,您实际上指的是所谓的破解,而不是黑客攻击。这个问题肯定会被关闭,不过有些简短的观察^ _ ^
Cracking来自于对计算机系统如何构建的基本理解,因此您不会学习如何破解/破解,您了解计算机工程以便逆向工程。
一个流行的黑客攻击平台是Linux;以windows为例,因为它是开源的,所以有经验的程序员可以编写自己的程序。虽然经验丰富的黑客可以在任何平台上实现目标。
但是有很多级别的黑客攻击,简单的网站安全性除了黑客入侵索尼和面临监狱之外...... ^ _ ^
你可以在http://www.hackthis.co.uk上获得一些乐趣,但
答案 4 :(得分:0)
这取决于很多东西,例如:html代码的结构如何,例如,我不知道你是否可以破解iframe,但普通的网页相对容易破解。另一个安全陷阱程序员通常会通过url query-string传递敏感信息,然后你可以获取这些数据并在html代码中的任何地方提交它们。
可能还有其他细节,但我现在还没弄清楚。