Jak wskazują najświeższe analizy (stan na wrzesień 2021 r.), na całym świecie każdego miesiąca z Facebooka korzysta 2,7 miliarda aktywnych użytkowników, a 66% z nich, czyli prawie 1,8 miliarda, to aktywni użytkownicy, którzy każdego dnia logują się na swój profil. Jak widzisz, jest to bardzo ważne, aby chronić prywatne konto na Facebooku. Wszystko sprowadza się do ochrony konta e-mail, na które założyłeś konto. Wtedy, nawet jeśli hasło do Facebooka zostanie zmienione przez kogoś nieupoważnionego – nadal będziesz mógł odzyskać dostęp do konta. Sprawia to, że nie narażasz się na żadne straty ruchu, a więc i pieniędzy. Korzystając ze skracacza linków możesz w każdej chwili podmienić adres strony WWW, na którą przekierowany będzie klient. Sprawia to, że nie narażasz się na żadne straty ruchu, a więc i pieniędzy. Estetyka. Skrócony link jest prostszy do zapamiętania. Jak zmienić wygląd portalu społecznościowego Facebook? Usunięcie osi czasu z Facebooka. Usunięcie osi czasu z Facebooka. Usunięcie osi czasu z Facebooka. Jak oznaczyć kogoś w poście lub komentarzu na Facebooku? Tworzenie konta firmowego na Facebooku – krok pierwszy. Zakładanie strony firmowej na Facebooku można zrobić na dwa sposoby – poprzez kliknięcie w bezpośredni odnośnik bądź zakładkę Strony i profile, która ukaże się po kliknięciu we własne zdjęcie w prawym górnym rogu. Vay Tiền Nhanh Chỉ Cần Cmnd. w Internet / Autor / Dnia 14 listopada 2012 o 19:08 / Jak włamać się na stronę internetową – luka SQL Injection. W tym poradniku dowiesz się jak włamać się na stronę internetową wykorzystując lukę SQL Injection od podstaw. Krok po kroku przedstawimy ci jak złamać zabezpieczenia wielu stron internetowych i wysłać do bazy danych własne zapytanie SQL – czyli co nieco o hackingu stron internetowych dla początkujących. flickr, akeg Ten poradnik służy wyłącznie celom edukacyjnym i wykorzystane tutaj umiejętności mogą być wykorzystane wyłącznie zgodnie z prawem np. posłużą poszerzeniu wiedzy z zakresu bezpieczeństwa internetowego. W tym poradniku przedstawię popularny sposób pozwalający włamać się na strony internetowe, które są podatne na atak SQL Injection. Do celów ćwiczeniowych przygotowałem specjalny skrypt będący formularzem logowania podatny na atak SQL Injection – strona testowa dostępna jest pod adresem: Co to jest SQL Injection ? Zanim przejdziemy do konkretów, warto dowiedzieć się co to właściwie jest ten atak SQL Injection i skąd wzięła się taka nazwa ? Większość stron internetowych, zbudowana jest z wykorzystaniem baz danych – czyli miejsca, w którym przechowywane są dane zgodnie z określonymi regułami. W bazie danych przechowywane są informacje np. o zarejestrowanych użytkownikach, napisanych postach, newsach i wielu innych rzeczach. W przypadku stron internetowych wykorzystuje się bazę danych MySQL – składają się one z tabel, natomiast każda tabela zawiera określoną liczbę kolumn i wierszy. Wiersz to po prostu jeden wpis w tabeli : Tabela posiada oczywiście klucz główny, który jednoznacznie identyfikuje każdy wiersz tabeli – może również posiadać klucz obcy, który wykorzystuje się do tworzenia relacji pomiędzy tabelami. Nie będę tutaj jednak opowiadał o podstawach relacyjnych baz danych – przedstawię jedynie wycinek informacji, który pozwoli Ci dowiedzieć się czym jest atak SQL Injection i jak go wykorzystać w praktyce. Atak SQL Injection, można przetłumaczyć jako „zastrzyk SQL” – ponieważ polega na modyfikacji zapytania wysyłanego do bazy danych (ale o tym dalej). Zapytania SQL Injection Chcąc wykorzystać informacje zapisane w bazie danych na stronie internetowej, musimy połączyć się z bazą MySQL i wysłać do niej zapytanie – w efekcie otrzymamy to o co zapytamy. W przypadku formularzy logowania zapytanie może mieć postać podobną do poniższego: SELECT * FROM members WHERE user = ‚ ‚ and pass=’ ‚ Jeżeli nie miałeś do czynienia wcześniej z poleceniami języka SQL, to spróbuję krótko wyjaśnić co oznacza powyższy zapis. SELECT – oznacza pobranie z bazy danych pewnych informacji * – kolumny, które chcemy pobrać (jeżeli wstawimy * pobierzemy wszystkie kolumny) FROM – skąd members – nazwa tabeli w bazie danych WHERE – filtr, ograniczający wyniki wyszukiwania user, pass – nazwa kolumny Czyli wpisując login i hasło do formularza możemy wysłać zapytanie w postaci: SELECT * FROM members WHERE user = ‚ test’ and pass=’ hoot123′ Oznacza to pobierz wszystkie informacje z tabeli members, dla której kolumna user przyjmuje wartość „test” i kolumna pass przyjmuje wartość „hoot123”. Pomiędzy „user” a „test” widnieje jeszcze słówko „and” (z ang. i) – czyli oba warunki muszą być spełnione, aby wyciągnąć informację z bazy danych (czyli gdzie nazwa użytkownika to „test”, a hasło to „hoot123”). W przypadku gdy wpiszemy poprawną nazwę użytkownika, ale błędne hasło nie zostaniemy zalogowani. SQL Injection w praktyce, od podstaw Skoro już wiemy jak wygląda zapytanie wysyłane do bazy danych podczas logowania na stronę internetową – warto zastanowić się, czy istnieje możliwość modyfikacji tego zapytania – tak abyśmy zalogowali się nie znając np. hasła użytkownika ? Nie będziemy tutaj na sucho wykorzystywali zdobyte umiejętności – ale praktycznie zobaczymy jak to działa – spróbujemy włamać się na stronę wykorzystując SQL Injection. W oknie przeglądarki należy wpisać adres: Pojawi nam się formularz logowania, w którym możemy wpisać dowolne hasło i nazwę użytkownika – w ten sposób dowiemy się jakie zapytanie zostało wysłane do bazy danych: Jak widać nie znając prawidłowego hasła i nazwy użytkownika nie zalogujemy się – o czym świadczy komunikat „nieprawidłowy login, lub hasło„. Pewnie zauważyliście również, że to co wpiszemy w polu login wędruje do pola user=”, natomiast to co wpiszemy w polu hasło wędruje do pola pass=”. Stąd wniosek, że jest to jedyne miejsce, którym możemy manipulować. Rzeczą o której już wspominałem jest fakt, że warunki po słowie kluczowym WHERE muszą być spełnione – spróbujmy zatem dokonać pewnej modyfikacji, tak aby warunek zachodził 😉 Jeżeli miałeś do czynienia z jakimkolwiek językiem programowania wiesz, że oprócz operatora logicznego AND istnieje również operator logiczny OR (lub) – w przypadku operatora OR, wystarczy że jeden z warunków będzie poprawny. Załóżmy, że znamy nazwę użytkownika (np. admin) i chcielibyśmy się zalogować na jego konto nie znając hasła – wtedy moglibyśmy wysłać zapytanie w postaci: SELECT * FROM members where user =’admin’ and pass=” or ‚1’= ‚1’ Co zrobić, aby polecenie wyglądało tak samo jak powyżej – wystarczy w polu login wpisać admin, natomiast w polu hasło wpisać ‚ or ‚1’= ‚1. Zakładając, że użytkownik „admin” istnieje, należy doprowadzić do sytuacji w której drugi warunek(pass) będzie spełniony – dodajemy operator logiczny OR, oraz równanie 1=1, które jest oczywiście prawdziwe. Gdy stosujemy operator logiczny OR, wystarczy że jeden z warunków będzie spełniony (został on zaznaczony kolorem zielonym). Wyżej wymienionym sposobem możemy posłużyć się również, gdy nie znamy nazwy użytkownika 🙂 Kolejny sposób, polega na zakomentowaniu wyrażenia, które ma nie być brane pod uwagę – krótko mówiąc to co jest objęte komentarzem nie jest wykonywane przez aplikację. W praktycznie wszystkich językach programowania istnieje możliwość używania komentarzy – w przypadku SQL’a komentarze poprzedzamy dwoma myślnikami tzn. — SELECT * FROM members where user =’admin’ — ‚ and pass=” W wyżej wymienionym poleceniu instrukcja ‚ and pass=” została zakomentowana i nie będzie brana pod uwagę – wystarczy zatem wpisać poprawny login, aby uzyskać dostęp do konta ! W polu login w tym wypadku wystarczy wpisać admin’ — (przed/po — jest spacja !). Poznałeś właśnie metodę pozwalającą włamać się na słabo zabezpieczone strony internetowe – jeżeli jesteś webmasterem, powinieneś zabezpieczyć się przed atakiem SQL Injection. Możliwości SQL Injection jest znacznie więcej – w przyszłości na pewno pojawią się dodatkowe poradniki na ten temat. O zabezpieczeniu się przed tego typu atakiem będzie osobny artykuł – na tę chwilę dodam, że wystarczy filtrowanie znaków wpisywanych do pola formularza. Tagi:atak sql injection, hacking, haking, jak włamać się na stronę Phishing to wciąż popularna metoda ataków na firmy. Jak wynika z badania Sophos, aż 59% dużych przedsiębiorstw w Polsce zauważyło wzrost liczby tego typu wiadomości trafiających na skrzynki pracowników w ostatnim roku. Nawet jeden e-mail ze złośliwym linkiem może skutkować wielomilionowymi stratami, związanymi z kradzieżą i zaszyfrowaniem firmowych danych. Konieczna jest edukacja pracowników, jednak trzeba przy tym pamiętać, że nawet specjaliści IT różnie definiują phishing. Od fałszywego e-maila do zablokowania systemu Na całym świecie aż 7 na 10 firm zatrudniających co najmniej 100 pracowników zanotowało wzrost liczby ataków phishingowych w ostatnim roku. Przestępcy szybko wykorzystali możliwości, jakie stworzyła pandemia: gwałtowny wzrost liczby osób pracujących z domu, popularności zakupów online, powszechny niepokój. Podobną skalę ataków zanotowały wszystkie sektory, co wskazuje, że cyberprzestępcy starają się przede wszystkim dotrzeć do jak największej liczby pracowników. – Phishing pozostaje skuteczną metodą cyberataków od ponad 25 lat. Przestępcy grają na ludzkich emocjach i zaufaniu: wyłudzają dane oraz nakłaniają do kliknięcia w złośliwe linki lub załączniki, podszywając się pod znane firmy i instytucje – ostrzega Monika Sierocinski, Team Lead CAM w firmie Sophos. – Firmy często uważają phishing za niewielkie zagrożenie, jednak zazwyczaj to tylko pierwszy etap bardziej złożonego ataku. E-mail od „współpracownika” i kliknięcie w złośliwy link może skutkować wielomilionowymi stratami. Przestępcy zyskują wtedy dostęp do komputera ofiary oraz firmowej sieci, mogą pobierać z niej informacje, blokować je, a nawet kr

jak sie wlamac na facebooka