Burp Suite ကို ဘာအတွက်အသုံးပြုတာလဲ။
Burp Suite သည် ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်းအတွက် ဆိုက်ဘာလုံခြုံရေးတွင် ကျယ်ကျယ်ပြန့်ပြန့်အသုံးပြုသည့် ကျယ်ကျယ်ပြန့်ပြန့် ပလက်ဖောင်းတစ်ခုဖြစ်သည်။ ၎င်းသည် ဝဘ်အက်ပလီကေးရှင်းများ၏ လုံခြုံရေးကို အကဲဖြတ်ရာတွင် လုံခြုံရေးကျွမ်းကျင်သူများကို အစွမ်းထက်သောကိရိယာတစ်ခုဖြစ်ပြီး အန္တရာယ်ရှိသောသရုပ်ဆောင်များက အသုံးချနိုင်သည့် အားနည်းချက်များကို ဖော်ထုတ်ခြင်းဖြင့် ကူညီပေးသည်။ Burp Suite ၏အဓိကအင်္ဂါရပ်များထဲမှတစ်ခုမှာအမျိုးအစားအမျိုးမျိုးကိုလုပ်ဆောင်နိုင်စွမ်းဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, DotDotPwn – လမ်းကြောင်းကို ဖြတ်သွားခြင်း
ဘုံလုံခြုံရေးအားနည်းချက်များကို ကာကွယ်ရာတွင် ၎င်း၏ထိရောက်မှုကိုသေချာစေရန် ModSecurity ကို မည်သို့စမ်းသပ်နိုင်မည်နည်း။
ModSecurity သည် အသုံးများသော ဝဘ်အက်ပလီကေးရှင်း Firewall (WAF) မော်ဂျူးဖြစ်ပြီး အများအားဖြင့် လုံခြုံရေးဆိုင်ရာ အားနည်းချက်များကို ကာကွယ်မှုပေးသည်။ ဝဘ်အက်ပလီကေးရှင်းများကိုကာကွယ်ရာတွင်၎င်း၏ထိရောက်မှုသေချာစေရန်၊ စေ့စေ့စပ်စပ်စမ်းသပ်မှုပြုလုပ်ရန်အရေးကြီးပါသည်။ ဤအဖြေတွင်၊ ကျွန်ုပ်တို့သည် ModSecurity ကိုစမ်းသပ်ရန် အမျိုးမျိုးသောနည်းလမ်းများနှင့် နည်းပညာများကို ဆွေးနွေးပြီး ဘုံလုံခြုံရေးခြိမ်းခြောက်မှုများကို ကာကွယ်ရန် ၎င်း၏စွမ်းရည်ကို အတည်ပြုနိုင်မည်ဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ModSecurity ပါ, Apache2 ModSecurity, စာမေးပွဲသုံးသပ်ချက်
Google ဟက်ကာရှိ "inurl" အော်ပရေတာ၏ ရည်ရွယ်ချက်ကို ရှင်းပြပြီး ၎င်းကို မည်သို့အသုံးပြုနိုင်ကြောင်း ဥပမာတစ်ခုပေးပါ။
Google ဟက်ကာရှိ "inurl" အော်ပရေတာသည် ဝဘ်အက်ပလီကေးရှင်းများ၏ ထိုးဖောက်ဝင်ရောက်မှုစမ်းသပ်ခြင်းတွင် အသုံးပြုသည့် အားကောင်းသည့်ကိရိယာတစ်ခုဖြစ်ပြီး ဝဘ်ဆိုက်တစ်ခု၏ URL အတွင်းရှိ သော့ချက်စာလုံးများကို ရှာဖွေရန်ဖြစ်သည်။ ၎င်းသည် လုံခြုံရေးကျွမ်းကျင်သူများအား URLs များ၏ဖွဲ့စည်းပုံနှင့် အမည်ပေးခြင်းဆိုင်ရာ သဘောတူညီချက်များကို အာရုံစိုက်ခြင်းဖြင့် အားနည်းချက်များနှင့် ဖြစ်နိုင်ချေရှိသော တိုက်ခိုက်မှု vector များကို ဖော်ထုတ်နိုင်စေပါသည်။ "inurl" အော်ပရေတာ၏အဓိကရည်ရွယ်ချက်
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, pentesting အတွက် Google ဟက်ကာ, ထိုးဖောက်စမ်းသပ်မှုအတွက် Google Dorks, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်ဆာဗာပေါ်တွင် အောင်မြင်သော အမိန့်ပေး ထိုးနှက်တိုက်ခိုက်မှုများ၏ အလားအလာကောင်းများကား အဘယ်နည်း။
ဝဘ်ဆာဗာတွင် အောင်မြင်သော အမိန့်ပေး ထိုးနှက်တိုက်ခိုက်မှုများသည် စနစ်၏ လုံခြုံရေးနှင့် ဂုဏ်သိက္ခာကို ထိခိုက်စေပြီး ပြင်းထန်သော အကျိုးဆက်များ ရှိနိုင်သည်။ Command Injection သည် တိုက်ခိုက်သူတစ်ဦးအား ဆာဗာပေါ်ရှိ မတရားသော ညွှန်ကြားချက်များကို အားနည်းချက်ရှိသော အပလီကေးရှင်းတစ်ခုထဲသို့ ထိုးသွင်းခြင်းဖြင့် မှားယွင်းသောထည့်သွင်းမှုကို လုပ်ဆောင်ခွင့်ပြုသည့် အားနည်းချက်အမျိုးအစားတစ်ခုဖြစ်သည်။ ၎င်းသည် ခွင့်ပြုချက်မရှိဘဲ ဖြစ်နိုင်ခြေရှိသော အကျိုးဆက်များကို ဖြစ်ပေါ်စေနိုင်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 5-10 - LFI နှင့် အမိန့်ပေးခြင်း, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းများတွင် ကွတ်ကီးများကို အလားအလာရှိသော တိုက်ခိုက်ရေး vector အဖြစ် မည်သို့အသုံးပြုနိုင်သနည်း။
ကွတ်ကီးများကို ကလိုင်းယင့်နှင့် ဆာဗာကြားတွင် အရေးကြီးသော အချက်အလက်များကို သိမ်းဆည်းခြင်းနှင့် ပေးပို့နိုင်ခြင်းတို့ကြောင့် ဝဘ်အက်ပ်လီကေးရှင်းများတွင် ဖြစ်နိုင်ချေရှိသော တိုက်ခိုက်ရေး vector အဖြစ် အသုံးပြုနိုင်သည်။ ကွတ်ကီးများကို စက်ရှင်စီမံခန့်ခွဲမှုနှင့် အသုံးပြုသူအထောက်အထားစိစစ်ခြင်းကဲ့သို့သော တရားဝင်ရည်ရွယ်ချက်များအတွက် ယေဘူယျအားဖြင့် အသုံးပြုသော်လည်း၊ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိစေရန် တိုက်ခိုက်သူများမှလည်း ၎င်းတို့ကို အသုံးချနိုင်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 5-10 - LFI နှင့် အမိန့်ပေးခြင်း, စာမေးပွဲသုံးသပ်ချက်
အမိန့်ပေး ထိုးနှက်တိုက်ခိုက်မှုများကို ကာကွယ်ရန် ပိတ်ဆို့ သို့မဟုတ် သန့်စင်ထားသော ဘုံဇာတ်ကောင်များ သို့မဟုတ် အတွဲများကား အဘယ်နည်း။
ဆိုက်ဘာလုံခြုံရေးနယ်ပယ်တွင်၊ အထူးသဖြင့် ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်းတွင်၊ အာရုံစိုက်ရန် အရေးကြီးသော နယ်ပယ်များထဲမှ တစ်ခုသည် အမိန့်ပေး ထိုးနှက်တိုက်ခိုက်မှုများကို ကာကွယ်ခြင်း ဖြစ်သည်။ တိုက်ခိုက်သူသည် ထည့်သွင်းဒေတာကို ကြိုးကိုင်ခြင်းဖြင့် ပစ်မှတ်စနစ်တစ်ခုတွင် မတရားသော အမိန့်ပေးချက်များကို လုပ်ဆောင်နိုင်သောအခါ အမိန့်ပေးထိုးနှက်တိုက်ခိုက်မှုများ ဖြစ်ပေါ်လာသည်။ ဤအန္တရာယ်ကို လျော့ပါးစေရန်၊ ဝဘ်အက်ပလီကေးရှင်းဆော့ဖ်ဝဲရေးသားသူများနှင့် လုံခြုံရေးကျွမ်းကျင်ပညာရှင်များသည် အများအားဖြင့်ဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 5-10 - LFI နှင့် အမိန့်ပေးခြင်း, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းထိုးဖောက်ခြင်းစမ်းသပ်ခြင်းတွင် command injection cheat sheet ၏ရည်ရွယ်ချက်ကဘာလဲ။
ဝဘ်အက်ပလီကေးရှင်းထိုးဖောက်ခြင်းစမ်းသပ်ခြင်းရှိ ကွန်မန်းဆေးထိုးချက်စာရွက်သည် အမိန့်ပေးချက်ထိုးခြင်းနှင့်ပတ်သက်သော အားနည်းချက်များကို ရှာဖွေဖော်ထုတ်အသုံးချခြင်းအတွက် အရေးကြီးသောရည်ရွယ်ချက်တစ်ခုဖြစ်သည်။ Command Injection သည် တိုက်ခိုက်သူသည် ပစ်မှတ်စနစ်တွင် မလိုလားအပ်သော ကုဒ်များကို command execution လုပ်ဆောင်ချက်ထဲသို့ ထိုးသွင်းခြင်းဖြင့် တိုက်ခိုက်သူသည် မတရားသော အမိန့်များကို လုပ်ဆောင်နိုင်သည့် ဝဘ်အက်ပလီကေးရှင်း လုံခြုံရေး အားနည်းချက် အမျိုးအစားဖြစ်သည်။ လိမ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 5-10 - LFI နှင့် အမိန့်ပေးခြင်း, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းများတွင် LFI အားနည်းချက်များကို မည်သို့အသုံးချနိုင်သနည်း။
Local File Inclusion (LFI) အားနည်းချက်များကို ဆာဗာပေါ်ရှိ အရေးကြီးဖိုင်များထံ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်အသုံးပြုခွင့်ရရှိစေရန် ဝဘ်အက်ပလီကေးရှင်းများတွင် အသုံးချနိုင်သည်။ အပလီကေးရှင်းတစ်ခုသည် အသုံးပြုသူ၏ထည့်သွင်းမှုကို သင့်လျော်သောဆေးကြောခြင်း သို့မဟုတ် အတည်ပြုခြင်းမရှိဘဲ ဖိုင်လမ်းကြောင်းတစ်ခုအဖြစ် ထည့်သွင်းခွင့်ပြုသည့်အခါ LFI သည် ဖြစ်ပေါ်သည်။ ၎င်းသည် တိုက်ခိုက်သူတစ်ဦးအား ဖိုင်လမ်းကြောင်းကို ကြိုးကိုင်စေပြီး မတရားသောဖိုင်များ ပါဝင်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 5-10 - LFI နှင့် အမိန့်ပေးခြင်း, စာမေးပွဲသုံးသပ်ချက်
OverTheWire Natas ၏ အဆင့် 4 တွင် အဆင့် 3 အတွက် စကားဝှက်ကို ရှာဖွေရန် "robots.txt" ဖိုင်ကို မည်သို့အသုံးပြုသနည်း။
"robots.txt" ဖိုင်သည် ဝဘ်ဆိုက်တစ်ခု၏ root directory တွင် တွေ့ရလေ့ရှိသော စာသားဖိုင်ဖြစ်သည်။ ဝဘ်ဆိုဒ်၏ အစိတ်အပိုင်းများကို ကူးယူသင့်သည် သို့မဟုတ် မလေ့လာသင့်သည့် ညွှန်ကြားချက်များပေးဆောင်ကာ ဝဘ်စာရေးကိရိယာများနှင့် အခြားသော အလိုအလျောက် လုပ်ငန်းစဉ်များနှင့် ဆက်သွယ်ရန်အတွက် ၎င်းကို အသုံးပြုသည်။ OverTheWire Natas စိန်ခေါ်မှု၏အခြေအနေတွင်၊ "robots.txt" ဖိုင်ဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 0-4, စာမေးပွဲသုံးသပ်ချက်
OverTheWire Natas ၏ အဆင့် 1 တွင်၊ မည်သည့်ကန့်သတ်ချက်ကို ချမှတ်ထားပြီး အဆင့် 2 အတွက် စကားဝှက်ကို မည်သို့ကျော်ဖြတ်ရမည်နည်း။
OverTheWire Natas ၏ အဆင့် 1 တွင်၊ အဆင့် 2 အတွက် ခွင့်ပြုချက်မရှိသော စကားဝှက်သို့ ဝင်ရောက်ခွင့်ကို တားမြစ်ရန် ကန့်သတ်ချက်တစ်ခု ချမှတ်ထားသည်။ ဤကန့်သတ်ချက်ကို တောင်းဆိုချက်၏ HTTP ရည်ညွှန်းသူ ခေါင်းစီးကို စစ်ဆေးခြင်းဖြင့် ဤကန့်သတ်ချက်ကို အကောင်အထည်ဖော်သည်။ ကိုးကားသူခေါင်းစီးသည် လက်ရှိတောင်းဆိုမှုမှအစပြုသည့် ယခင်ဝဘ်စာမျက်နှာ၏ URL နှင့်ပတ်သက်သော အချက်အလက်ကို ပေးပါသည်။ ကန့်သတ်ချက်များ
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, OverTheWire Natas, OverTheWire Natas လမ်းညွှန်ချက် - အဆင့် 0-4, စာမေးပွဲသုံးသပ်ချက်