LOAD HTAR PAR

Wednesday, December 7, 2011

Web Application Threats

လိုက္လုပ္ခ်င္မွလုပ္ေနာ္....အဆိုးအေကာင္းတာ၀န္မယူပါဗ်ာ.... SO SORRY......THANATAL...


ေျမာက္မ်ားစြာေသာ Web application Threats ေတြဟာ web server ကိုထြက္ေပါက္တစ္ခုအျဖစ္ အသံုးျပဳတယ္။
ေအာက္ပါ Threatsေတြဟာ နာမည္ရ threatsေတြျဖစ္ပါတယ္။

Cross-site scripting
SQL injection
Command injection
Cookie poisoning and snooping
Buffer overflow
Authention Hijacking
Directory traversal/ Unicode
 




 Footprinting
     Footprinting ဟာ Hackingရဲ႕ ပထမေျခလွမ္းျဖစ္ပါတယ္။ pre-attack လို႔ေခၚပါတယ္။ အဖြဲ႕ အစည္းတစ္ခုရဲ႕ system အားနည္းခ်က္ေတြကို ရွာေဖြၾကျခင္းျဖစ္ပါတယ္။ hackerဟာ compniesရဲ႕ အခ်က္အလက္ေတြ၊ computer systemေတြကို ဒီနည္းလမ္းနဲ႔ စတင္ရွာေဖြပါတယ္။ remote accessေတြ၊ portsနဲ႔ servicesေတြ လံုၿခံဳေရးဆိုင္ရာ အခ်က္အလက္ေတြပါ၀င္ပါတယ္။
Define the Term Footprinting
organization ရဲ႕   networkေတြ၊ systemေတြ အခ်က္အလက္ေတြရရိွဖို႔ blueprindနဲ႔ mapေတြဖန္တီးက်တယ္။ အဓိက ကေတာ့ system,application,physical location ေတြကို ပစ္မွတ္ထားပါတယ္။ nonintrusive methodes ကို အသံုးျပဳ ပါတယ္။ ဥပမာ-  personnel directory (သို႔) employee ရဲ႕ ကိုယ္ေရးအက်ဥ္းေတြ ၿပီးေတာ့ social enginnering attack ကေတာ့ hacker ေတြကို အျပည့္အ၀ ကူညီပါတယ္။
   hacker အမ်ားစုဟာ Google (သို႔) yahoo ကိုအေျခခံၿပီး အခ်က္အလက္ေတြ စုေဆာင္းပါတယ္။
 Google Search engine ဟာအခ်က္အလက္ေတြ ရွာေဖြဖို႔ အသံုးျပဳၾကတယ္။

Describe the Information Gathering Methodology
  Information ရွာေဖြတဲ့အခါ ေအာက္ေဖာ္ျပပါ toolေတြနဲ႔ အသံုးျပဳၾကပါတယ္။
-Domain name lookup
-Whois
-Nslookup
-Sam spade
   ဒီtoolေတြဟာ phone numberေတြ၊ addressေတြ၊ Domain Name System(DNS) tablesေတြ၊ IP addressesေတြ၊ စတဲ့ အခ်က္ေတြရႏိုင္ပါတယ္။
Understand DNS Enumeration
     DNS Enumeration လုပ္ငန္းစဥ္ဟာ DNS records ေတြကို DNS serverရဲ႕ Locating ေတြကို ရွာေဖြေပးျခင္းျဖစ္တယ္ Company ေတြရဲ႕  internet ႏွင့္ external DNS Servers ေတြရဲ႕ လက္ရွိ Usernames, Computer names, IP addressesေတြ ပါ၀င္ပါတယ္။
   Nslookup, DNS stuff,the American Registry for Internet Numbers (ARIN) နဲ႔ whois ဟာ informationေတြ အတြက္ မ်ားစြာ အသံုး၀င္တယ္။
Nslookup and DNS stuff
   nslookup ဟာ စြမ္းအားျပည့္ toolတစ္ခုျဖစ္ပါတယ္။ ဒီ toolဟာ DNS record information ကိုေထာက္လွမ္း ႏိုင္တယ္။ Unix,Linux,Windows Operating Systemsေတြ ပါ၀င္ပါတယ္။ hacking tool တစ္ခုအေနနဲ႔ Sam Spade ဟာ nslookup tool ထဲမွာ ပါ၀င္ပါတယ္။
C:\>nslookup www.yahoo.com
  အလြယ္ကူဆံုးသံုးႏုိင္တဲ့ hacking tool တစ္ခုျဖစ္တဲ့ dnsstuff tool ပဲျဖစ္ပါတယ္။ http;//www.dnsstuff.comကေန အသံုးျပဳၿပီး လည္း ရွာေဖြႏိုင္ပါတယ္။
Understand Whois and ARIN Lookups
  Email နဲ႔ websitesေတြရဲ႕ domainေတြဘယ္မွာ registered လုပ္ထားသလဲဆိုတာ ရွာေဖြျခင္းပါ။ Uniform resource locator (URL) မွာ www.microsoft.com ဆိုပါေတာ့ microsoft.comက domain name ျဖစ္ၿပီး wwwကေတာ့ hostname (သို႔) alias ျဖစ္ပါတယ္
  ARIN database ကို Whois နဲ႔တြဲၿပီး ရွာေဖြႏုိင္ပါတယ္။
http://www.arin.net/whois

Analyzing Whois Output
 Whois နဲ႔ အလုပ္လုပ္ျခင္း ဆင္တူပါသည္။ သူက Websiteေတြနဲ႔ ခ်ိပ္ဆက္ထားၿပီး whois ထဲမွာ ပါ၀င္ပါတယ္။
    www.networksolution.com

Understand How Traceroute is Used in Footprinting
  Traceroute ဟာ packet-tracking tool ျဖစ္ပါတယ္။ ICMP (Internet Control Message Protocol) echo to each hop (router or gateway) ရဲ႕  address အကြာအေ၀းေတြ၊ router ကျပန္လာတဲ့ ICMP message (TTL) time to live ၾကာခ်ိန္ေတြျဖစ္ပါတယ္။
C:\>tracert www.yahoo.com



 ခုေျပာျပမယ့္အေၾကာင္းအရာက္ေတာ့ Email hacking အေၾကာင္းပါ။ဗဟုသုတရေစရန္ ရည္ရြယ္ၿပီး ေရးသားေပးျခင္းျဖစ္ပါတယ္။ဒီအေၾကာင္းအရာ
ထဲတြင္ ပါ၀င္ေသာ hacking toolမ်ားႏွင့္ ပါတ္သက္ၿပီး ျပန္လည္ရွင္းျပေပးမည္မဟုတ္ပါ။


Ways for Getting Email account Information

1. Stealing Cookies
2. Social Engineering
3. Password Phishing

Stealing Cookies
  Website ကေနအသံုးျပဳၾကတဲ့  cookiesေတြ၊ Browser မွာပါ၀င္တဲ့  cookies ေတြ ၊ ခင္ဗ်ားအသံုးျပဳေနတဲ့ Website နဲ႔ Browser ၾကားက
cookies ေတြကေနပဲျဖစ္ျဖစ္  - Attacker ေတြဟာ  အဲ့ဒီ့  encrypted မလုပ္ရေသးတဲ့ cookiesေတြကို ျပန္ျဖည္ၿပီးေတာ့ အခ်က္အလက္ေတြ၊
username နဲ႔ password ေတြကို ရယူႏိုင္ၾကပါတယ္။


Social Engineering
     social engineering ကိုဖြင့္ဆုိထားတာကေတာ့  non-technical kind of intrusion that relies heavily on human interaction and often involves tricking other people to brake normal security procedures  လို႔ ဖြင့္ဆိုထားပါတယ္။
     social engineering hackers  ေတြဟာသူတို႔ေမွ်ာ္မွန္းထားတဲ့ ေနရာေတြကိုဦးတည္ၿပီး သတင္းအခ်က္အလက္ေတြရယူဖို႔အတြက္ အယံုသြင္း လွည့္ျဖားတတ္ၾကပါတယ္။  ထို႔ေနာက္ ဦးတည္ခ်က္ ကြန္ပ်ဴတာေတြကို  malware ေတြ အေျမာက္အမ်ား ထည့္သြင္းၾကပါတယ္။
အမ်ားဆံုးကေတာ့ လူေတြဟာ ဘုမသိဘမသိနဲ႔ သူတို႔ရဲ႕ ေသာ့ခ်က္ျဖစ္တဲ့ သတင္းအခ်က္အလက္ေတြျဖစ္တဲ့ ေမးလ္ေတြ၊ အေမးအေျဖလႊာအတုအေယာင္ ေတြေပးၿပီးလူေတြဆီကေန ဖုန္းနံပါတ္ေတြ ၊ သူတို႔ရဲ႕ အေရးပါတဲ့ Email ေတြ ၊ လူမသိေစခ်င္တဲ့ ပုဂိဳလ္ေရးဆိုင္ရာ အခ်က္အလက္ေတြကို ရယူၾကပါတယ္။
   Attacker ေတြဟာ  Email accounts  ေတြကို အသံုးျပဳ ၿပီး သတင္းအခ်က္အလက္ေတြကို ရယူၾကပါတယ္။

Password Phishing
   user ေတြရဲ႕   User name &password ေတြကို ရယူဖို႔  ဟန္ျပေမးလ္ေတြ websiteေတြကို အေယာင္ျပၿပီး ခင္ဗ်ားတို႔ကို Sign-in pages ဖန္တီးၿပီး password ရယူသြားျခင္းကို Phishing လို႔ေခၚပါတယ္။
   ထို႔ေနာက္ေတာ့ ခင္ဗ်ားရဲ႕  username & password ကို အသံုးျပဳၿပီး ေအာက္ပါလုပ္ငန္းစဥ္မ်ားကို လုပ္ေဆာင္ပါေတာ့တယ္။

        Commit identity theft
        Charge your credit card
        Clear your bank account
        Change the previous password


Fraudulent e-mail Messages
   ခင္ဗ်ားကို  bankကေန သတင္း အခ်က္အလက္အသစ္ရယူမလားဆိုတဲ့ e-mail messages  မ်ိဳးတစ္ခု ရရွိလာႏိုင္ပါတယ္။
ခင္ဗ်ားက အဲ့ဒီ့  messagesကိုဖြင့္ၾကည့္လိုက္တာနဲ႔ ခင္ဗ်ားအတြက္  linkတစ္ခု ေတြ႕ရၿပီး အဲ့ဒီ့ linkကို ခင္ဗ်ားက ကိုယ့္ရဲ႕ Password နဲ႔   ogin
၀င္လိုက္တဲ့အခါ ခင္ဗ်ားရဲ႕သတင္းအခ်က္အလက္ေတြ ရရွိသြားႏိုင္ပါတယ္။
  Attackerေတြဟာ အဲ့ဒီ့အခ်က္အလက္ေတြကိုရယူၿပီး ခင္ဗ်ားရဲ႕ e-mail account  ကို hacking လုပ္ပါေတာ့တယ္။


Advanced Stealth Email Redirector
  ဒီ programကေတာ့ ခင္ဗ်ား target ထားတဲ့  Pc's email client  ကိုၾကားျဖတ္   monitions လုပ္ေပးမယ့္   software ပါပဲ။


Mail Pass View
   mail pass view  ဟာ  small password-recovery tool  ပဲျဖစ္ပါတယ္။ ဒီ tools ကေတာ့ေအာက္မွာေဖာ္ျပထားတဲ့ ဆိုဒ္ေတြရဲ႕
passwordေတြရယ္ အေကာင့္ေတြရယ္ကို ေဖာ္ထုတ္ေပးမွာျဖစ္ပါတယ္။

Outlook Express
        Microsoft Outlook 2000 (POP3 and SMTP Account only)
        Microsoft Outlook 2002/2003/2007(POP3,IMAP,HTTP and SMTP Account)
        Windows Mail
         Netscape 6.x/7.x
        Mozilla Thunderbird
        Group Mail Free
        Yahoo!Mail
        HotMail/MSN mail
        Gamil/ Gtalk

No comments:

Post a Comment