-
Δεν πρέπει να λέτε σε κανέναν τον κωδικό πρόσβασης του εικονικού σας προφίλ. Όποιος έχει πρόσβαση στο προφίλ σας έχει πλήρη έλεγχο των δεδομένων που εμφανίζονται στο προφίλ σας.
-
Μην βάζετε φωτογραφίες στο προφίλ σας που δείχνουν ξεκάθαρα την τοποθεσία σας (ιδίως το σπίτι σας, το σχολείο σας ή μέρη που συχνάζετε). Είναι λιγότερο πιθανό να σας βρουν στη φύση.
-
Εάν λάβετε ένα προσβλητικό ή ανεπιθύμητο μήνυμα, αναφέρετέ το στη διαδικασία καταγγελιών του ιστότοπου κοινωνικής δικτύωσης που χρησιμοποιείτε ή στη Safeline. Συνήθως εκφράζεται με τη λέξη “αναφορά”.
-
Έχετε πάντα κατά νου ότι οι πληροφορίες που δημοσιεύετε στους ιστότοπους κοινωνικής δικτύωσης είναι ευρέως προσβάσιμες. Ακόμη και αν διαγράψετε το προφίλ σας, πολλές από τις πληροφορίες δεν θα αφαιρεθούν και μπορεί να συνεχίσουν να είναι διαθέσιμες αλλού στο Διαδίκτυο.
-
Λάβετε υπόψη ότι όταν προσθέτετε κάποιον στη λίστα φίλων σας (όταν επιβεβαιώνετε ένα αίτημα φιλίας), το άτομο αυτό μπορεί να έχει πρόσβαση στα προσωπικά σας δεδομένα, όπως η φωτογραφία σας και τα στοιχεία επικοινωνίας που εμφανίζονται στο προφίλ σας.
-
Αφού δημιουργήσετε το εικονικό σας προφίλ, πρέπει να μεταβείτε στο μενού ρυθμίσεων απορρήτου και να αλλάξετε τις προεπιλεγμένες ρυθμίσεις.
ΧΡΗΣΙΜΟΠΟΙΗΣΤΕ ΤΟ GOOGLE ΓΙΑ HACKING! ΟΔΗΓΟΣ ΣΧΕΤΙΚΑ ΜΕ ΤΑ GOOGLE DORKS
Έχω σκοπό να σας δείξω πως μπορείτε να χρησιμοποιήσετε το Google για hacking έτσι ώστε να μπορείτε να εκμεταλλευτείτε ακριβώς όλες τις λειτουργίες που σας παρέχει αυτη η μηχανή αναζήτησης και να έχετε καλύτερα αποτελέσματα.
Ας ξεκινήσουμε.
inurl:
Το inurl χρησιμοποιείται για να μας εμφανίσει ιστοσελίδες οι οποίες έχουν πάνω ένα αρχείο.
Αν βάζαμε στο google inurl:”admin.php” θα μας εμφάνιζε όλες τις ιστοσελίδες που έχουν στο url τους το admin.php
Για παράδειγμα
Δηλαδή αν θέλατε να βρείτε απο wordpress σελίδα τη σελίδα συνδεσης (Admin Panel) τότε πολύ απλα τα ψάχνατε για
inurl:”wp-admin.php” το wp-admin είναι η σελίδα σύνδεσης σε wordpress.
intitle
Παραπάνω είδαμε οτι το inurl λειτουργεί με βάση το url.
Το intitle λειτουργεί με βάση το τίτλο της ιστοσελίδας, οπου συνήθως ειναι αυτος που βρίσκετε αναμεσα στα <title> </title> στον html Κώδικα.
Δηλαδή με το intitle:”admin login” θα είχαμε το παρακάτω αποτέλεσμα
Ακόμα με το intitle μπορείτε να χρησιμοποιήσετε και την εντολή index of για παράδειγμα
intitle:”index of backup”
Ψάχνει για ιστοσελίδες οπου έχουν ανεβασμένο ενα φάκελο με το ονομα backup και ο οποιος ειναι εμφανή. Δηλαδή με το Index of μας εμφανίζει τα περιχόμενα του φακέλου.
Δηλαδή με το intitle:”index of photos” ψάχνει ιστοσελίδες που έχουν πανω ανεβασμένο κάποιο φάκελο με το ονομα photos ο οποιος είναι προσβάσιμος σε ολους.
Και αν μπούμε πχ στο http://www.efoplistis.gr/photos/ μπορούμε να δούμε τι περιέχει μέσα ο φάκελος..
Για σκεφτείτε κάποιος να είχε ανεβάσει Prive εικόνες, δεν θα τις βλέπατε; η να μπορούσατε εσεις να βρείτε μέσα απο αυτο το dork!!
filetype
Το filetype απλά θα σας εμφανίσει ολες τις ιστοσελίδες που έχουν πάνω ενα συγκεκριμένο αρχειο.
Για πάράδειγμα:
” filetype:pdf ” θα σας εμφανίσει διάφορα Pdf αρχεία.
Μπορείτε να δοκιμάσετε για αρχεία του τυπου .zip .rar. png. xls .xml .txt κ.λ.π.
Αναζήτηση με βάση τη χώρα.
Ωραία μέχρι εδώ!! Αλλα αν εγω θέλω όλες τις ιστοσελίδες με κατάληξη .gov η .gr τι κανω;
Η Λύση είναι απλή, απλα χρησιμοποιείται το site:gr
Για παράδειγμα
intitle:"index of backup" site:".gov"
Μπορείτε ομως για ακόμα καλύτερα αποτελέσματα να δοκιμάσετε απλα να βάλετε .gov
Για παράδειγμα
intitle:"index of backup" .gov.
Πάμε να δούμε παρακάτω κάποια dorks που εφτιαξα!
inurl:wp-config intext:wp-config 'DB_PASSWORD'
Τι ψάχνει;
wp σημαίνει wordpress, και είναι ενα δημοφιλή CMS. Το όνομα χρήστη και κωδικούς πρόσβασης απο τη βάση δεδομένων αποθηκεύονται σε ενα αρχείο wp-config. Έτσι, ψάχνουμε για wp-config στο inurl, στο intext χρησιμοποιήσαμε το wp-config ‘DB_PASSWORD’ εξασφαλίσει το ακριβές αποτέλεσμα.
Θα καταλάβετε περισσότερα όταν θα ψάξετε στο google με αυτο.
Παράδειγμα
Ακόμα και στη πρώτη σελίδα είχατε το παρακάτω αποτέλεσμα.
http://www.twmisfits.com/wp-config.php%20org
Οπου καταφέρατε και βρήκατε τα στοιχεία απο τη βάση δεδομένων.
define('DB_NAME', 'themisf4_bandt_live');
/** MySQL database username */
define('DB_USER', 'themisf4_live');
/** MySQL database password */
define('DB_PASSWORD', 'txX=gKz)&U03');
/** MySQL hostname */
define('DB_HOST', 'localhost');
inurl:admin inurl:userlist
χρησιμοποιώντας αυτό μπορούμε να βρούμε τα ονόματα απο τα μέλη (users) κάποιας ιστοσελίδας.
inurl:index.php?id=
Ενα απλο dork για Sql Injection.
inurl:index.php?id= intext:Warning: mysql num rows() site:gr
Ακόμα ενα dork για sql injection αλλα ψάχνει για ιστοσελίδες που εχουν το παραπάνω σφάλμα, οπότε ειναι ευλαωτες και δεν χρειάζετε να τις ψάχνετε εσεις.
Στο site:gr θα ψάξει όλες τις ιστοσελίδες .gr
Χρησιμοποιώντας το Dirb για εντοπισμό κρυφών φακέλων και αρχείων σε ιστότοπους
Το Dirb είναι ένα εργαλείο ανοικτού κώδικα για την εξερεύνηση καταλόγων σε ιστότοπους. Πρόκειται για ένα εργαλείο σάρωσης καταλόγων (directory scanner) που χρησιμοποιείται συνήθως για τεστ ασφαλείας σε ιστότοπους.
Οι κυριότερες λειτουργίες του Dirb περιλαμβάνουν την ανίχνευση κρυμμένων καταλόγων και την εντοπισμό ανοικτών αρχείων. Χρησιμοποιεί λίστες κοινών ονομάτων αρχείων και καταλόγων για να δοκιμάσει την ύπαρξή τους σε έναν συγκεκριμένο ιστότοπο.
Εγκατάσταση του Dirb:
Καταρχάς, θα πρέπει να εγκαταστήσετε το Dirb.
Ανάλογα με το λειτουργικό σας σύστημα, ο τρόπος εγκατάστασης μπορεί να διαφέρει. Για παράδειγμα, σε συστήματα Debian/Ubuntu, μπορείτε να χρησιμοποιήσετε την εντολή:
sudo apt-get install dirb
Kali Linux
Στο Kali Linux, το εργαλείο Dirb συνήθως είναι προεγκατεστημένο.
Μπορείτε να το εκτελέσετε απευθείας από το τερματικό χρησιμοποιώντας την εντολή dirb
.
Χρήση του Dirb:
Αφού εγκατασταθεί, μπορείτε να το χρησιμοποιήσετε για την εξερεύνηση ενός ιστότοπου ως εξής:
dirb http://example.com
Αυτή η εντολή θα αρχίσει μια σάρωση καταλόγων στον ιστότοπο http://example.com. Το Dirb θα χρησιμοποιήσει μια λίστα συνηθισμένων ονομάτων αρχείων και καταλόγων για να ελέγξει αν υπάρχουν προσβάσιμες διαδρομές.
Μπορείτε να προσαρμόσετε την εντολή ανάλογα με τις ανάγκες σας, π.χ.:
dirb http://example.com -o output.txt -r
-o output.txt
: Αποθηκεύει τα αποτελέσματα σε ένα αρχείο κειμένου.-r
: Επαναλαμβάνει τον έλεγχο για υπάρχοντα subdirectories.
Χρήση WordList
Αν θέλετε να χρησιμοποιήσετε μια δική σας λίστα, μπορείτε να την περάσετε στο Dirb με την επιλογή -w
. Για παράδειγμα:
dirb http://example.com -w /path/to/your/wordlist.txt
Αν δεν καθορίσετε μια συγκεκριμένη λίστα, το Dirb θα χρησιμοποιήσει την ενσωματωμένη λίστα που έχει προκαθορισμένα.
Σε γενικές γραμμές, οι λίστες για εξερεύνηση καταλόγων περιλαμβάνουν συνηθισμένα ονόματα αρχείων (όπως index.html
, admin.php
, κλπ.) και γνωστά ονόματα καταλόγων (όπως admin/
, images/
, κλπ.).
Αν θέλετε να χρησιμοποιήσετε πολλαπλές wordlists με το Dirb, μπορείτε να το κάνετε παρέχοντας τα ονόματα αρχείων των wordlists ως επιπλέον παραμέτρους. Οι λίστες θα πρέπει να έχουν ένα όνομα αρχείου αντίστοιχο με το Dirb και πρέπει να βρίσκονται στον ίδιο κατάλογο ή να παρέχεται ο πλήρης διαδρομή.
Παράδειγμα:
dirb http://example.com -w wordlist1.txt -w wordlist2.txt
Σε αυτό το παράδειγμα, το Dirb θα χρησιμοποιήσει τις λίστες wordlist1.txt και wordlist2.txt για την εξερεύνηση του ιστότοπου.
Αναζήτηση Συγκεκριμένων αρχείων σε μια ιστοσελίδα
Μμπορείτε να χρησιμοποιήσετε την επιλογή -X.
Παράδειγμα:
dirb http://example.com -X .php,.html,.txt
Σε αυτό το παράδειγμα, το Dirb θα εξερευνήσει τον ιστότοπο για αρχεία με κατάληξη .php, .html και .txt.
Μπορείτε να προσθέσετε ή να αφαιρέσετε καταλήξεις ανάλογα με τις ανάγκες σας.
Διαφορές Hacker με Cracker
Ακούμε πολλές φορές στις ειδήσεις ότι hackers επιτέθηκαν εδώ, hackers κάνανε αυτό, εκείνο, το παρα-άλλο… λάθος!
Η λέξη hacker φυσικά είναι δημοφιλής, γοητευτική, πιασάρικη και ”πουλάει” πολύ, άρα δεν μας κάνει εντύπωση, ενώ η λέξη cracker, μας θυμίζει περισσότερο… μπισκοτάκια! 🙂
Η αλήθεια όμως είναι διαφορετική, παρόλο που οι hackers με τους crackers είναι κάτι σχεδόν ίδιο…
Μπερδευτήκατε ε; Ας δούμε!
Τι είναι ο hacker
Hacker είναι ένα άτομο το οποίο έχει βαθιά γνώση των υπολογιστών και/ή του προγραμματισμού, γνώση πολύ ανώτερη από τους απλούς χρήστες.Οι hackers γνωρίζουν σχεδόν όλα τα in και τα out των υπολογιστών και εκμεταλλευόμενοι αυτή την γνώση, μπορούν να κάνουνε πράγματα που ”δεν γίνονται”, όπως επίσης και πολλά άλλα, που δεν μπορούν να κάνουν οι απλοί χρήστες.Για παράδειγμα μπορούνε να παρακάμψουνε συστήματα ασφαλείας και να αποκτήσουνε πρόσβαση εκεί που δεν πρέπει, γιατί γνωρίζουνε πάρα πολλά πράγματα (στην πραγματικότητα τίποτα δεν είναι 100% ασφαλές, απλά παίζει ρόλο πόση γνώση έχει ο άλλος ώστε να καταφέρει να αποκτήσει πρόσβαση…)
Οι hackers κινούνται στα πλαίσια της νομιμότητας και δεν παραβιάζουν τους νόμους με τις πράξεις τους.
Τι είναι ο cracker
Cracker είναι αυτός που είναι μεν hacker, είναι δηλαδή κι αυτός ”expert” στους υπολογιστές, αλλά χρησιμοποιεί αυτή τη γνώση για να κάνει κάτι παράνομο.
Οι crackers χρησιμοποιούν όλη αυτή την γνώση για να ”σπάσουν” προγράμματα, να δημιουργήσουν ζημιά σε μια ιστοσελίδα, να κλέψουν δεδομένα, να φτιάξουν ιούς με κακό
Διαφορά hacker – cracker
Άρα, καταλαβαίνετε λίγο πολύ ποια είναι η διαφορά hacker – cracker…Ο cracker κάνει ό,τι και ο hacker, αλλά δημιουργεί ζημιές και παραβιάζει τους νόμους.
Για παράδειγμα, αν κάποιος καταφέρει και βρει – ”σπάσει” τους κωδικούς από μία ιστοσελίδα, αποκτώντας πρόσβαση στα πάντα, και μείνει εκεί χωρίς να συνεχίσει, τότε ονομάζεται hacker.
Αν όμως προχωρήσει και κάνει μεταβολές στο περιεχόμενο εν αγνοία του ιδιοκτήτη της ιστοσελίδας, ή και δημιουργήσει ζημιά, τότε αυτός είναι cracker!Τέλος, αξίζει να σημειώσουμε το αυτονόητο: όλοι οι crackers είναι και hackers, αλλά το αντίθετο δεν ισχύει.
Άρα όλοι αυτοί που αναφέρονται στις ειδήσεις ως ”hackers που δημιουργήσανε πρόβλημα ή ζημιά”, δεν είναι τίποτα άλλο, παρά crackers…Οπότε κλείνοντας, η διαφορά hacker-cracker έγκειται στο πως χρησιμοποιεί ο καθένας τη γνώση του: με σκοπό μόνο να μάθει, ή με σκοπό να δημιουργήσει ζημιά.