Cách Hack Tài Khoản Ngân Hàng

Cũng đang lâu rồi, được hẳn một tuần rồi mình chưa ra nội dung bài viết nào bởi mình hết ý tưởng viết bài rồi, nhiều lúc viết bài xích về kỹ thuật nhiều quá chả ai gọi (sad x3000). Nửa đêm vỗ gối ruột nhức như cắt, nước mắt đầm đìa, chỉ hận không có không ít ý tưởng hơn nhằm viết thiệt nhiều bài xích cho chúng ta đọc mang đến vui, nhất là cơ hội covid này thì nên có bài bác mới đến mọi tín đồ đọc đỡ buồn đúng không nhỉ nào.

Bạn đang xem: Cách hack tài khoản ngân hàng

Đó, thì cũng qua một tuần (6-7 đêm vỗ gối, nước mắt đầm đìa) thì bây giờ mình cũng có một phát minh mới để viết cho chúng ta một bài bác đọc mang lại qua hầu hết ngày mon covid nhé.

Chúng ta bắt đầu thôi nhỉ!

*

Hacker là gì? hacker là những người tiêu dùng các năng lực (lập trình, phần mềm, phần cứng, khối hệ thống mạng…) đồng thời tận dụng những lỗ hổng bảo mật thông tin để can thiệp một cách trái phép vào phần mềm, phần cứng, trang bị tính, hệ thống máy tính, mạng máy vi tính nhằm biến đổi các tính năng vốn bao gồm của nó theo ý thích của phiên bản thân mình. - https://indianembassy-tm.org

Vậy là chúng ta đã nắm rõ sơ sơ về định nghĩa rồi giờ bọn họ đi vào vấn đề đó là Thử thách một ngày làm cho hacker cho tất cả những người mới | hack tài khoản bank chứa rộng 66996 USD.

Hack, Hack, hack

Chuyện là, mình gồm tìm ra được một website https://www.hacksplaining.com/ này tương đối là hay, giúp các chúng ta cũng có thể tập tập tành, đóng vai một tin tặc được thỏa sức học hỏi các lỗ hổng cơ bạn dạng nhất để có một ánh nhìn nhất định về hack.

*

Thế thì website này còn có gì vui?

Trong đây có khá nhiều bài lí giải về rất không hề ít lỗi cơ mà để có thể là một hacker chúng ta phải biết.

*

*

Các lỗ hổng này đều dựa trên OWASP đứng top 10.Each year OWASP (the xuất hiện Web Application Security Project) publishes the vị trí cao nhất ten security vulnerabilities. It represents a broad consensus about the most critical security risks to lớn web applications. Click through on the lessons below khổng lồ learn more about how to lớn protect against each security risk.

Về cơ bản thì các bạn vào đây, sẽ được học về phong thái khai thác cũng tương tự biết được vì sao sinh ra những lỗi bảo mật đó. Các các bạn sẽ được dạy dỗ step by step, nên việc một bạn mới muốn tìm hiểu về hack có thể rất dễ dàng để thâu tóm và có tác dụng theo.

Thử gian lận tài khoản bank chứa rộng 66996 USD

Để hình dung cho chúng ta cách cơ mà hacksplaining hướng đẫn tò mò về những lỗi bảo mật thông tin thì bản thân sẽ lựa chọn đại một cái để triển khai cho các bạn xem qua.

Ở đây, mình lựa chọn lỗi sql injection - một lỗi bom tấn nhất mà cho tới lúc này nó vẫn đang còn lộ diện rất nhiều.

Khi lựa chọn vào thì đầu tiên các bạn sẽ thấy các step và một application tất cả lỗi bảo mật (ở phía trên được mô phỏng là 1 trong application của Bank) như khoanh đỏ trong hình.

*

Bấm next, các các bạn sẽ thấy hiển thị một size logs - Đây là size mô phỏng lại logs khi nhưng application chạy.

*

Tiếp theo, bọn họ được gợi ý là đăng nhập vào một trong những tài khoản.

Xem thêm: Quan Hệ Bắc Triều Tiên Và Hàn Quốc, Căng Thẳng Leo Thang, Triều Tiên

*

Tuy nhiên, khi đăng nhập vào thì được thông báo Unknown email or password. Và một phía dẫn kêu thử singin lại dẫu vậy mật khẩu lần này thêm vệt " và phía sau. Tôi thử làm theo.

*

Sau khi đăng nhập như gợi ý, thì bao gồm 2 lắp thêm ta có thể thấy được:

Được nhắc nhở là ứng dụng đã crasshedNhìn vào size logs vẫn thấy gồm logs của SQL bị lỗi

*

Bấm liên tục để xem, thì bọn họ nhận được nhắc nhở rằng, với thông tin lỗi vào logs với hãy suy nghĩ một câu lệnh hoàn chỉnh trong áp dụng sẽ là như hình.

*

SELECT * FROM users WHERE thư điện tử = "" & pass = "password"" LIMIT 1Đây đó là một lỗi sql injection. Tiếp theo họ sẽ được gợi nhắc cách khai thác là thử đăng nhập với mật khẩu đăng nhập là " or 1=1;--

*

Câu lệnh SQL bây chừ luôn luôn luôn đúng như sau:

SELECT * FROM users WHERE e-mail = "" & pass = "" or 1=1;--" LIMIT 1Thử singin lại, hiện thời đã đăng nhập thành công.

*

Như vậy họ đã rất có thể đăng nhập vào một tài khoản ngân hàng có chứa 66996.4 USD nhưng mà không cần phải biết mật khẩu của tài khoản đó.

Giải ưa thích về câu lệnh

Trong ví dụ như trên, bạn có thể tưởng tượng ra source code của ứng dụng đang rất được viết như vầy.

var username; // đem từ form các bạn nhập vàovar password; // lấy từ form chúng ta nhập vàovar sql = "SELECT * FROM users WHERE thư điện tử = "" + username + "" and pass = "" + password + ""LIMIT 1";db.query(sql);Vậy khi đăng nhập một cách thông thường là với password=password, thì câu lệnh SQL sẽ là:

SELECT * FROM users WHERE thư điện tử = "" và pass = "password" LIMIT 1Khi câu lệnh này được truy vấn vấn vào database, vị password=password chưa phải là của thông tin tài khoản nên sẽ tiến hành database trả về rỗng. Bởi thế thì không đăng nhập được, như ta thấy làm việc trên là được áp dụng trả về Unknown e-mail or password..

Vậy làm cho câu lệnh luôn luôn luôn đúng thì ta phải đổi khác được câu lệnh sql thành.

SELECT * FROM users WHERE thư điện tử = "" và pass = "password" or 1=1 LIMIT 1or 1=1 tương tự với đk truy vấn luôn luôn luôn đúng. Vậy là chỉ cần nhập ngẫu nhiên sqli nào làm cho câu lệnh sql luôn luôn đúng thì chúng ta đã thành công. Ví dụ 1 số payload như bên dưới đây:

password" or 1=1password" or 1=1;--" or 1=1"" or 1=1;--Dấu ; cần sử dụng để chấm dứt câu truy hỏi vấn sqlDấu -- cần sử dụng để bình luận tất cả câu lệnh sql phía sau nó, nhằm mục tiêu mục đích phòng việc tạo ra lỗi trường hợp như vùng sau nó còn tồn tại câu lệnh sql.

Các bạn cũng có thể đọc qua bài này của bản thân để hiểu hơn về vấn đề này: https://manhnv.com/2019/05/mo-ta-sql-injection-la-gi-va-cach-kiem-tra/

Kết luận

Như vậy là mình đã reviews cho chúng ta cách để có thể trải nghiệm cũng như học làm cho hacker như vậy nào. Các bạn chủ động tò mò các lỗi sót lại nhé.

Tuy nhiên, trang website mình giới thiệu chúng ta chỉ là các lỗi cơ bạn dạng và biện pháp khai thác cũng khá rất cơ bạn dạng nên việc để đổi mới 1 hacker tay to chúng ta cần học thêm nhiều nhiều những nữa thì mới hoàn toàn có thể xưng bá thế gian được nhé.

Có thể bài này sẽ không hay như chúng ta kỳ vọng, bản thân còn có rất nhiều bài khác rất hay tại https://manhnv.com nhé! Anyway ...