Học làm hacker

Để trở thành hacker cần phải học gì, cần có những hiểu biết cơ bản gì, hack như thế nào? Thật sự nó quá khó để trả ...







Để trở thành hacker cần phải học gì, cần có những hiểu biết cơ bản gì, hack như thế nào? Thật sự nó quá khó để trả lời, ngay cả nếu hỏi một hacker chuyên nghiệp, vì họ không có chuyên môn sư phạm, một câu trả lời không thể giúp bạn trở thành hacker , nó là cả một quá trình tích lũy kinh nghiệm. Để không bị chửi hay ném đá, bài viết này mình chỉ chia sẻ và trả lời câu hỏi “Làm thế nào để hack một website” , câu hỏi mà mình nhận được quá nhiều sau khi đăng bài viết “họ đã hack Chợ Tốt như thế nào?”.


hacker

Trước hết phải xác định rằng bạn không phải đang đọc bài viết của một hacker, mà chỉ là một thằng coder quèn bỏ học đại học lang thang code dạo, cá kiếm ít cơm cháo sống qua ngày. Mình hoàn toàn không học về bảo mật thông tin, cũng không kiếm tiền ở lĩnh vực này, chỉ chịu khó tìm tòi nghiên cứu, thi thoảng check những lỗi rất-thông-thường của các website và báo lỗi cho họ. Điển hình là báo lỗi cho Chợ Tốt, VietnamWorks, và hệ thống quản trị thông tin hành chính tỉnh X phát triển bởi VNPT…

Họ thương thì cho ít tiền cafe, không thì mình cũng rất vui vì giúp được một chút gì đó cho họ, cho người dùng, cho ai đó mà mình không biết nữa. Cái mình nhận được từ những ngày nghiên cứu, nghịch ngợm “như một hacker” là một góc nhìn rất mới lạ, thú vị, giúp ích rất nhiều cho công việc lập trình của mình.

Hacker phải biết lập trình
Mình nói thật, không biết lập trình thì bỏ đi, không có hack hiếc gì cả, có một câu nói rất hay rằng “Before you break the rules you have to learn the rules”, trước khi làm gì đó với một website, bạn phải biết website nó hoạt động như thế nào, được tạo ra như thế nào. Trước khi tán con bé hàng xóm, cũng phải biết nó thích gì, hay đi đâu, nó có hay xem porn không, nhà có giàu không… Hãy học lập trình thật tốt, bạn sẽ tự biết hack một cách rất tự nhiên thôi.

Tôi không biết lập trình, tôi chỉ muốn thử hack một cái gì đó, để thử cảm giác được làm hacker có được không?

Có, cho vui thì được, hiện có rất nhiều tools, hướng dẫn trên Google để bạn có thể tự mình hack, để đặt avatar mặt nạ anonymous cho ngầu để tán gái, chỉ cần bạn có một đam mê khám phá và tinh thần học hỏi. Nhưng dù gì thì gì, hack vẫn là một hành động phạm tội, và bạn sẽ không tiến xa được với cách tiếp cận này đâu. Mình đã gặp rất nhiều bạn Sky’s vì xem nhiều phim hacker mà sinh ra ảo tưởng, hừng hực trên con đường “nghiên cứu bảo mật” mà thất vọng, chán nản bất mãn với đời =)) Cứ thử học một khóa lập trình đi, rồi bạn sẽ thấy ước muốn trở thành hacker của mình nó ngớ ngẩn đến mức nào.

Hack rất tốn thời gian và công sức
Có thể bạn đã xem ở bộ phim nào đó cảnh một hacker tay lướt trên bàn phím, trên màn hình hiện rất nhiều dòng chữ chạy loạn xạ trên màn hình đen và chỉ vài giây sau hiện lên dòng chữ xanh “Access granted “. Hay một anh chàng đẹp trai vài phút đã có thể hack được hệ thống giao thông sau đó chơi luôn cả một cái vệ tinh.

Ngoài đời hoàn toàn không giống như thế đâu, cũng không phải lúc nào cũng có sẵn một cái vệ tinh trên đầu bạn. Hack tốn thời gian và công sức hơn thế rất nhiềuuuuu. Bạn phải theo dõi thu thập thông tin, xem từng request, phân tích từng cái url, đọc từng mẩu code, viết code để thực hiện cái gì đó… có thể kéo dài cả ngày thậm chí cả tuần, và hơn thế nữa. Cũng không phải cái gì cũng có thể hack được, có những cái cần phải có thiết bị hỗ trợ ở gần mục tiêu… tóm lại là mệt mỏi hơn bạn tưởng tượng rất là nhiều.

Làm thế nào để hack một website?
Lảm nhảm khá nhiều mới đến chủ đề chính, chúng ta sẽ tìm hiểu cách một website bị hack như thế nào. Tất nhiên đây chỉ là dưới góc độ cá nhân, vì như ở trên đã nói, mình chỉ là dạng tay mơ, không phải các bước của một hacker chuyên nghiệp, để các bạn đọc chơi cho vui.

Thu thập thông tin
Khi đã có “ý đồ đen tối” với một website cụ thể, đầu tiên check info server xem website đó viết bằng gì, dữ liệu sẽ được gửi nhận ra sao, cơ sở dữ liệu ở đâu, giao thức liên lạc, mã hóa bằng gì, đang dùng hosting của dịch vụ nào hay dùng VPS - Server riêng, server đó đang chạy hệ điều hành gì, version mấy…. thử xem robots.txt xem họ có giấu giếm cái gì không, thử google xem nó có error nào mà google vô tình thu thập được không.

Nó đang dùng mã nguồn nào, nếu là dùng mã nguồn mở (wordpress, joomla, drupal…) thì check luôn version của mã nguồn đó nếu có thể. Họ có dùng https không, dùng theme hay plugin nào phụ thêm không? Tên miền của nhà cung cấp nào, ai là chủ nhân tên miền, có các sub-domain nào… vân vân và mây mây, tóm lại là thu thập càng nhiều thông tin càng tốt.

Tìm kiếm bug đã tồn tại trên mã nguồn, hệ điều hành của website
Với các thông tin đã thu thập được, bạn bắt đầu Google các lỗi còn tồn tại đã được công bố. Web họ dùng centos 6.4, wordpress 4.3 và vài theme với plugin nữa, hãy google ngay xem phiên bản này có lỗi gì không, nếu có thì phương pháp tấn công của họ như thế nào?

Đa số các mã nguồn mở nổi tiếng thì rất ít bug và được cộng đồng vá rất sớm sau khi được công bố, tuy nhiên các website thông thường không chịu khó theo dõi và cập nhật các bản vá này. Ngoài ra, họ sử dụng rất nhiều theme, plugin, addon chưa được kiểm định, do vậy khả năng dính lỗi khá cao. Khi đã tìm ra lỗi thì dễ rồi :))

Local attack
Từ thông tin server ở bước 1, bạn bắt đầu check những site nằm trên cùng server này, để xem có thể “làm ăn” được gì từ những site này không. Nếu may mắn hack được một site trên cùng server, up shell để local sang website mục tiêu, có những diễn đàn hacking, UG có một đội ngũ chuyên up shell cho member, có thể vào đó để xin link shell :)

Các shared-host lúc nhúc hàng trăm web trên cùng một server có thể dễ dàng hơn trong việc local và dễ dàng mua được một gói host nhỏ nằm cùng server với mục tiêu để hành động.

Tìm kiếm những lỗ hổng từ website
Nếu source code của website là tự viết, không dùng mã nguồn mở, và các bước trên có vẻ không hiệu quả, bạn bắt đầu check những lỗi, những sơ hở mà lập trình viên vô tình tạo ra. Cái này thì vô vàn, và cần có kinh nghiệm. Bắt đầu từ cách website hoạt động, bạn kiểm tra các file javascript, kiểm tra các ajax request… xem trình duyệt gửi nhận thông tin gì, nếu thay đổi dữ liệu input thì chuyện gì sẽ xảy ra. Dễ dàng nhất là check theo top các lỗi bảo mật web OWASP đã được công bố.

Vẫn có những con đường khác
Thực tế thì vẫn có những con đường khác, cái này thì tùy từng website mà có cách ứng biến phù hợp tùy thuộc vào hiểu biết của bạn về website đó. Một website thường không đứng độc lập, nó có thể tương tác với hệ thống thanh toán bên ngoài, là api dữ liệu cho ứng dụng mobile… và vẫn có những sơ hở khác tồn tại. Bản thân mình đã từng hack bằng cách dịch ngược file apk của một hệ thống và đọc code của nó, gửi mail cho nhân viên cty đó có đính kèm malware, lợi dụng sơ hở của hệ thống DNS… Hoặc có một cách hack khác rất phổ biến, đó là social engineering, khai thác lỗi từ chính yếu tố con người, chat chit, gọi điện, gửi email lừa lọc :)) nó đặc biệt hiệu quả khi kết hợp với phương pháp kỹ thuật đã nói ở trên. Riêng cái này mình chưa làm do không có tài chém gió :))

Kết luận
Hack cần tư duy lập trình tốt và sự sáng tạo, tìm hiểu về bảo mật thông tin, Những mánh khóe, thủ thuật mà hacker sử dụng có ích giúp bạn lập trình tốt hơn. Tất cả các lập trình viên nên tạo thói quen “đa nghi”, đứng dưới góc nhìn của hacker để lập trình tốt hơn khi xây dựng một ứng dụng an toàn.




Mua-ngay-asun_28042016100144

Liên Hệ: Mr.Trường

Hotline0888 39 7576



COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,173,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,camera,1,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,17,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,32,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,16,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,34,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,47,Sách,37,Sách Nghệ Thuật Sống,12,sách nói,1,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,30,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,52,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Chia sẻ kiến thức miễn phí: Học làm hacker
Học làm hacker
https://4.bp.blogspot.com/-kzpjnunVZ9A/Ws7VwOMLlVI/AAAAAAAAAOg/fF9jZmdR3GQ7eabJ2-i-ruOR4NTYNV8qwCLcBGAs/s640/Nh%25E1%25BB%25B1t%2BTr%25C6%25B0%25E1%25BB%259Dng%2BGroup%2B2018-04-12_104415.jpg
https://4.bp.blogspot.com/-kzpjnunVZ9A/Ws7VwOMLlVI/AAAAAAAAAOg/fF9jZmdR3GQ7eabJ2-i-ruOR4NTYNV8qwCLcBGAs/s72-c/Nh%25E1%25BB%25B1t%2BTr%25C6%25B0%25E1%25BB%259Dng%2BGroup%2B2018-04-12_104415.jpg
NhutTruong.Com - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2018/04/hoc-lam-hacker.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2018/04/hoc-lam-hacker.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content