راه‌ها و راهکارها برای جعل کردن کلید جلسه راه‌

راه‌ها و راهکارها

برای جعل کردن کلید جلسه راه‌های بسیاری وجود دارد:

Xss

با وجود حفره XSS، نفوذگر می‌تواند کدهای جاوااسکریپت روی سیستم قربانی اجرا کند.

از جمله کارهایی که می‌توان با جاوا اسکریپ انجام داد، سرقت Cookieها و جلسه‌ها است.

جلوگیری از XSS و همچنین HttpOnly کردن جلسه‌ها و کوکی‌ها از جمله راه‌های جلوگیری از این روش هستند.

استراق سمع(Session sidejacking)

در این روش نفوذگر از طریق packetهای TCP/IP اطلاعات رد و بدل شده را به روش استراق سمع (معمولاً در شبکه‌های بیسیم) دریافت و از آن کلید جلسه را استخراج می‌کند.

برای جلوگیری از این راه علاوه بر تأمین امنیت شخصی، استفاده از پروتکل امن(https) می‌تواند به جلوگیری از این روش کمک کند. شایان ذکر است که اگر در https استراق سمع صورت گیرد، مرورگر با نمایش پیغام خطا شما را مطلع می‌کند.

تثبیت نشست (session fixation)

در این روش نفوذگر کلید جلسه شخص مورد هدف را آن چیزی قرار می‌دهد که خود می‌خواهد. از این طریق شخص قربانی با وارد شدن به سایت (همراه با کلید جلسه که نفوذگر به او تحمیل کرده) این امکان را به مهاجم می‌دهد تا با استفاده از همان کلید جلسه خود را به جای قربانی معرفی کند.

برای جلوگیری از این روش، مهم‌ترین کار برقراری امنیت شخصی است و اعتماد نداشتن به لینک‌هایی که فرستاده می‌شود.

به عنوان مثال اگر مهاجم آدرسhttp://site.com/?SID=TEST را برای قربانی ارسال کند و قربانی بدون توجه به آدرس آنرا باز کند، با کلید جلسه معادل TEST وارد سایت می‌شود و اگر در سایت وارد شود، مهاجم نیز می‌تواند با TEST(یعنی مراجعه به آدرس گفته شده در بالا) وارد سایت شود.

سایر روش‌ها

از راه‌های دیگر می‌توان دسترسی داشتن از سرور و خواندن کلید جلسه‌ها یا حتی به حدس زدن کلید جلسه اشاره کرد.

به طور کلی علاوه بر روش‌های گفته شده، محدود کردن کلید جلسه به یک IP خاص نیز راه مناسبی برای مقابله با این نفوذ است. به این صورت که می‌توان در اطلاعات ذخیره شده جلسه، اطلاعاتی از قبیل IP نیز ذخیره و زمانی که اطلاعات درون جلسه تطابق داده می‌شوند، IP نیز تطابق داده شود و در صورتی ناهمخوانی، آن جلسه را باطل کرد.

یکی از راه‌های دیگری که می‌تواند در بهبود امنیت کمک کند، تعریف زمان timeout است. به این صورت که به عنوان مثال اگر بعد از گذشت مثلاً پنج دقیقه، کاربر هیچ فعالیتی در سایت نداشته باشد، آن جلسه باطل شود. این امر باعث می‌شود که حتی در صورت به سرقت رفتن کلید جلسه، اگر پس از مدتی نفوذگر بخواهد وارد سایت شود، سیستم اجازه ورود را به او ندهد.
➖➖➖➖➖➖➖➖➖➖

نرم افزار NetWorx برای ویندوز

✨نرم افزار NetWorx برای ویندوز✨

حتما تا بحال برای شما پیش آمده که از اینترنت حجمی استفاده کنید و کنترلی بر روی میزان مصرف خود در ویندوز نداشته باشید و همین امر باعث شود هزینه های اضافه برای خرید شارژ متحمل شوید!

ابزار NetWorx ﻣﯿﺘﻮﺍﻧﺪ ﺑﺎ ﺩﻗﺘﯽ ﺑﺎﻻ ﻣﯿﺰﺍﻥ ﭘﻬﻨﺎﯼ ﺑﺎﻧﺪ ﻣﺼﺮﻓﯽ ﺷﻤﺎ ﺭﺍ ﮐﻨﺘﺮﻝ ﮐﻨﺪ ﻭ ﺑﻪ ﺻﻮﺭﺕ ﻧﻤﻮﺩﺍﺭﯼ ﻧﻤﺎﯾﺶ ﺩﻫﺪ. ﺑﻪ ﺍﯾﻦ ﺗﺮﺗﯿﺐ ﻣﯿﺘﻮﺍﻧﯿﺪ ﺑﺮ ﻣﯿﺰﺍﻥ ﺗﺮﺍﻓﯿﮏ ﻣﺼﺮﻓﯽ ﺭﻭﺯﺍﻧﻪ ﺧﻮﺩ ﻧﻈﺎﺭﺕ ﺩﺍﺷﺘﻪ ﺑﺎﺷﯿﺪ ﺗﺎ ﺩﺭ ﺍﻧﺘﻬﺎﯼ ﻣﺎﻩ ﻣﺠﺒﻮﺭ ﺑﻪ ﺧﺮﯾﺪ ﺗﺮﺍﻓﯿﮏ ﺍﺿﺎﻓﻪ ﻧﺒﺎﺷﯿﺪ ...

ویژگی های کلیدی این نرم افزار:

- ﻧﻤﺎﯾﺶ ﺩﻗﯿﻖ ﻣﯿﺰﺍﻥ ﺩﺍﻧﻠﻮﺩ ﻭ ﺁﭘﻠﻮﺩ ﺩﺭ ﺑﺎﺯﻩ ﻫﺎﯼ ﺯﻣﺎﻧﯽ ﺭﻭﺯﺍﻧﻪ ﻭ ﻣﺎﻫﺎﻧﻪ
- ﻧﻤﺎﯾﺶ ﺗﻤﺎﻡ ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺩﺭ ﺣﺎﻝ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺗﺮﺍﻓﯿﮏ ﺍﯾﻨﺘﺮﻧﺖ ﺷﻤﺎ ﻫﺴﺘﻨﺪ
- ﻧﻤﺎﯾﺶ ﻣﯿﺎﻧﮕﯿﻦ ﺳﺮﻋﺖ ﺍﯾﻨﺘﺮﻧﺖ
- ﺫﺧﯿﺮﻩ ﮔﺰﺍﺭﺷﺎﺕ ﻣﺼﺮﻑ ﺍﯾﻨﺘﺮﻧﺖ ﺑﻪ ﺻﻮﺭت ﺭﻭﺯﺍﻧﻪ، ﻫﻔﺘﮕﯽ، ﻣﺎﻫﯿﺎﻧﻪ، ﻭ ﺳﺎﻟﯿﺎﻧﻪ
- ﻧﻤﺎﯾﺶ ﺳﺎﻋﺖ ﻭ ﺗﺎﺭﯾﺦ ﻫﺮ ﺍﺗﺼﺎﻝ ﺑﻪ ﺍﯾﻨﺘﺮﻧﺖ
- ﻣﺤﺎﺳﺒﻪ ﻣﯿﺰﺍﻥ ﺩﻗﯿﻖ ﺗﺮﺍﻓﯿﮏ ﻣﺼﺮﻓﯽ ﺩﺭ ﺑﺎﺯﻩ ﺯﻣﺎﻧﯽ ﺩﻟﺨﻮﺍﻩ
- ﺍﻣﮑﺎﻥ ﻗﻄﻊ ﺧﻮﺩﮐﺎﺭ ﺍﯾﻨﺘﺮﻧﺖ ﺩﺭ ﺻﻮﺭﺕ ﺭﺳﯿﺪﻥ ﺑﻪ ﺣﺪ ﻣﺠﺎﺯ ﻣﺼﺮﻑ
- دارای دو نسخه، نصب شونده و قابل حمل

شما می توانید از لینک زیر جدیدترین نسخه آن را دانلود نمایید👇

https://www.softperfect.com/products/networx/
➖➖➖➖➖➖➖➖➖➖➖

اموزش نصب websploit در کالی لینوکس

اموزش نصب websploit در

کالی لینوکس

1-ترمینال رو باز کنید.

2-دستور زیر رو وارد کنید:

Leafpad /etc/apt/sources.list

3-مخازن زیر رو به فایل

اضافه کنید:

deb http://kali.org/kali kali main non-free contrib
deb-src http://kali.org/kali kali main non-free contrib

4-حالا فایل رو سیو کنید.

5-در ترمینال دستورات زیر

را به ترتیب وارد کنید:

apt-get update

Apt-get install websploit

6-حالا مخازن اپدیت شد و

وبسپلویت هم نصب شد!

7-برای اجرای وب اسپلویت

دستور زیر رو در ترمینال وارد

کنید:

websploit
-----------
Source: G-C-S

هک ویندوز xp با ایپی توسط ارمیتیج

هک ویندوز xp با ایپی توسط ارمیتیج:

۱ـبه قسمت hosts برید.

۲ـروی add host کلیک کنید.

۳ـایپی تارگت رو وارد کنید.

۴ـروی add کلیک کنید.

۵ـحالا به قسمت attack برید.

۶ـروی find attack کلیک کنید.

۷ـحالا روی تارگت کلیک راست کنید.

۸ـوقتی کلیک راست میکنید یک لیست میاد که شما باید attack رو

انتخاب کنید.

۹ـحالا میبینید که چندین باگ از سیستم تارگت براتون پیدا کرده

که شما برای نفوذ میتونید ازشون استفاده کنید...

انواع سیستم عامل ها و ارزیابی آن ها و بهترین سیستم عامل ها برای هکینگ

✔️ موضوع : انواع سیستم عامل ها و ارزیابی آن ها و بهترین سیستم عامل ها برای هکینگ

لینوکس :
یک سیستم عامل قدرتمند که هسته ی اصلی ان شبیه یونیکس میباشد . لینوکس از سخت افزارهای مختلفی مثل گوشی ها ، لپ تاپ ها ، سرور ها ، تبلت ها ، ساعت ها و ... پشتیبانی میکند .

در سال 1984 ریچارد استالمن پروژه گنو لینوکس را آغاز کرد .

لینوس توروالدز نویسنده ی هسته ی اصلی لینوکس است .

🔵 مزایای سیستم عامل لینوکس :
ارزان بودن ، به راحتی در دسترس بودن ، امنیت بالا ، مورد علاقه ی هکران و برنامه نویسان

🔴 معایب سیستم عامل لینوکس :
گرافیک پایین ، نصب سخت ابزار ها ، نصب سخت خود سیستم عامل

🔹توزیع های مختلف لینوکس :

لینوکس توزیع های بسیاز زیادی دارد اما مهمترین توزیع های آن شامل :

redhat , Ubuntu , Debian , Mint , Centos , Fedora , Xubuntu , Open suse

🔹توزیع های مختلف هکینگ :

بک ترک ، کالی لینوکس ، بک باکس ، بلک آرچ

دلیل اینکه سیستم عامل لینوکس مورد علاقه ی هکرها میباشد این است که در این سیستم عامل ابزار های بسیار زیادی قرار دارد که کار هکرها را راحت کرده است.

🔹ابزارهای مخصوص هکینگ در سیستم عامل لینوکس :

🔹Dns Analysis :
Dnsmap , Dnswalk , Maltego

که برای اسکن کردن dns ها و پیدا کردن dns های یک سایت میباشد .

🔹Network Scanner :
autoscan , Nmap , Zenmap , Davtest

که برای اسکن کردن شبکه میباشد که در اینجا قدرتمند ترین ابزار nmap میباشد که برای اسکن کردن پورت های باز استفاده میشود .

🔹Network Hacking , Network Sniffer :
wireshark , kismet , ettercap , Scapy

برای اسکن و اسنیف شبکه های داخلی استفاده میشود که در اینجا ettercap و wireshark بسیار قدرتمند هستن ولی برای اسنیف شبکه های وایرلس بهترین ابزار دنیا Kismet میباشد .

🔹Roture Analysis :
Tctrace , Protos , netmask

که برای انالیز کردن روترها استفاده میشود .

🔹Ssl Analysis :
Sslstrip , ssl dump , sslsnif

که برای اسنیف کردن https استفاده میشود که بهترین ابزار sslstrip میباشد .

🔹Cms Identification :
cms-Explorer , Whatwebl

که برای یافتن و جمع آوری اطلاعات از cms میباشد .

🔹Web-Crawlers :
sqlscan , deblaze

که برای بیرون کشیدن لینک های سایت میباشد ( اما بهترین ابزار acountix میباشد )

🔹Database Analysis :
Sql Brute , Sql ninja

که برای آنالیز کردن دیتابیس استفاده میشود .

🔹Bluetooth Analysis :
Btscanner

که برای آنالیز کردن بلوتوث ها استفاده میشود .

🔹web vulnerability Scanner :
Asp-auditor , Nikito , Nessus , Sqlmap , uniscan , Vega , Wa3f , joomscan , wpscan , Darkmysql

بهترین ابزار های لینوکس در زمینه ی اسکن کردن سایت ها موارد بالا میباشند .

aps-auditor برای اسکن کردن سایت های asp استفاده میشود .

dark-mysql , sqlmap برای باگ sql استفاده میشود .

که البته بهترین اسکنر دنیا HB-Webinspet میبشاد که لایسنس اصلی آن نزدیک به 200 میلیون تومن میباشد

اما اسکنر Nessus واقعا عالی میباشد که ان را روی سرور لینوکسی نصب کنید

🔹Wireless Cracker :
wifite, wifihoney , Fern-wifi-cracker , airecrack reaver

که برای هک کردن وایرلس استفاده میشود که بهترین و قدرتمند ترین ابزار aircrack میباشد .

🔹Social Engineering tools :
Set
که برای مهندسی اجتماعی بهترین و قدرتمند ترین ابزار set میبباشد که قابلیت های بسیار زیادی دارد و واقعا بی نظیر است .

exploit-db :
برای سرچ اسکلویت در سایت exploit-db.com

🔹password list maker :
Crunch , Cupp
برای ساخت پسورد لیست

🔹Offline Password Attack :
John The Ripper , Hacshcrack , pipal Ophcrack

که برای کرک کردن به صورت افلاین بهترین ابزار john the rpper میباشد .

🔹Online Password Attack :

Hydra , find my hash

که بهرتین ابزار ها در زیمنه ی کرک پسورد به صورت انلاین

🔹Backdoor :
msfencode , msfpayload , weevely

که برای ساخت بک دور بهترین ابزار در زمینه ی سرور weevely و در زمینه ی کلاینت msfpayload میباشد .

🔹DDos Attack :
Slowloris.pl

که بهترین ابزار در زمینه ی دیداس اکسپلوت میباشد که میتوانید از سایت exploit-db.com آن را دانلود کنید.
شما میتوانید در بک ترک ان را با دستور msfconsole اجرا کنید.
اما یه افزونه در لینوکس وجود دارد به اسم Veil-Framework که میتوانید جهت تست آنتی ویروس از ان استفاده کنید.
یه ابزار بسیار قدرتمند که یه نوع کریپتر فوق العاده محسوب میشود که هیچ آنتی ویروس ان را شناسایی نمیکند.

تغییر مک آدرس در کالی لینوکس

✅تغییر مک آدرس در کالی لینوکس :

در این آموزش نحوه ی تغییر دادن مک آدرس بصورت دائم را در کالی لینوکس مطرح خواهیم کرد ...

دستور زیر برای مشاهده ی مک اصلی :

ifconfig | grep HWaddr

حالا Network Interface رو خاموش میکنیم :

ifconfig eth0 down

حالا میتونیم مک اصلی رو کانفیگ کنیم ... برای مثال :

ifconfig eth0 hw ether 00:00:00:00:00:98

حالا برای اینکه تعییرات موقتی نباشه باید ادامشو اینجوری عمل کنیم ...

کالی بر پایه ی دیبیان هست بنابراین دیبیان تمامی نتورک اینترفیس ها رو در مسیر زیر سیو میکنه :

/etc/network/interfaces

حالا با یه ویرایشگر متنی مثل nano اینجوری بازش میکنیم :

nano /etc/network/interfaces

حالا وارد محیط ویرایشگر شده و اینجوری میتونید مک رو ست کنید :

pre-up ifconfig eth0 hw ether 00:00:00:00:00:95

➖➖➖➖➖➖➖➖➖➖➖

مهم ترین ابزار های Aircrack-ng در کالی

✅مهم ترین ابزار های Aircrack-ng در کالی

در این مطلب قصد داریم شما را با مهترین ابزار های aircrack-ng در کالی آشنا کنیم..

یکی از بسته های نرم افزاری قوی، برای آنالیز، نفوذ و حمله به شبکه های وایرلس، Aircrack-ng نام دارد. این بستهء نرم افزاری خود متشکل از چندین ابزار بسیار کاربردی برای آنالیز، شنود و نفوذ به شبکه های وایرلس می باشد. در زیر لیستی از مهم ترین ابزارهای این بستهء نرم افزاری به همراه توضیحات مربوط به هر نرم افزار آورده شده است:

1- ابزار Aircrack-ng:
تعریف نخست: ابزاری برای کرک رمزهای عبور WEP و WPA با استفاده از دیکشنری.
تعریف دوم: مجموعه ای از ابزارها برای بررسی و ترافیک شبکه های بی سیم می باشد.

2- ابزار airdecap-ng: ابزاری برای شکستن بسته های رمزنگاری شده با استفاده از رمز به دست آمده.

3- ابزار airmon-ng: ابزاری برای فعالسازی monitor-mode در کارت شبکه های وایرلس.

4- ابزار aireplay-ng: ابزاری برای تزریق بسته به درون شبکه های وایرلس.

5- ابزار airodump-ng: ابزاری برای ذخیره سازی بسته ها در قالب فایل های IVS. و PCAP. برای نمایش اطلاعات مربوط به شبکه های وایرلس.

6- ابزار airtun-ng: ابزاری برای ساخت تونل (tunnel) مجازی.

7- ابزار pocketforge-ng: ابزاری برای ساخت بسته های رمزنگاری شده برای تزریق به شبکه های وایرلس.

8- ابزار ivstools: ابزاری برای Merge کردن و تبدیل

9- ابزار airbase-ng: ابزاری برای ساخت اکسس پوینت های تقلبی و جعلی.

10- ابزار airdecloak-ng: ابزاری برای حذف WEP cloaking از فایل های PCAP.

11- ابزار airdriver-ng: ابزاری برای مدیریت درایورهای کارت شبکه های وایرلس.

12- ابزار airolib-ng: ابزاری برای نگه داری و مدیریت ESSID ها و پسورد لیست ها و محاسبه کلید های Pairwise Master.

13- ابزار airserv-ng: ابزاری برای دسترسی به شبکه های وایرلس از طریق کامپیوترهای دیگر.

14- ابزار buddy-ng: یک راهنمای سرور برای easside-ng و قابل اجرا از کامپیوتر ریموت

15- ابزار easside-ng: ابزاری برای برقراری ارتباط با اکسس پوینت بدون داشتن رمز عبور (WEP) آن شبکه.

16- ابزار tkiptun-ng: ابزاری برای انجام حملات WPA/TKIP

17- ابزار wesside-ng: یک ابزار که به صورت خودکار، کلیدهای WEP را بازگردانی یا ریکاوری می کند.
➖➖➖➖➖➖➖➖➖➖➖

نصب کردن تم در لینوکس کالی

💻 نصب کردن تم در لینوکس کالی :

ابتدا ترمینال را باز کرده و دستور
apt-get gnome-tweak-tool
را وارد میکنیم

بعد از نصب کردن gnome-tool دستور زیر را در ترمینال اجرا میکنیم

gnome-tweak-tool

خب حالا به محل نصب تم ها در کالی رفتیم .

خب حالا برای دانلود کردن تم مورد علاقه ی خود به سایت gnome-look.org رفته و تم مربوطه را دانلود کنید

حالا بعد از دانلود تم مورد نظر فایل تم رو در مسیر زیر کپی میکنید :

computer/usr/share/themes/ و بعد تم را از حالت فشرده خارج کرده و در انجا paste کنید

حالا یه بار برنامه را ببنید و بعد با دستور gnome-tweak-tool وارد بخش مورد نظر شده و تم را انتخاب کنید.

🌐باماباشید...

آشنایی با XAMPP نرم افزار شبیه ساز وب سرور روی ویندوز

💢 آشنایی با XAMPP نرم افزار شبیه ساز وب سرور روی ویندوز:

همانطور که میدانید، زبان های برنامه نویسی همانند PHP می بایستی برای اجرا توسط وب سرور پردازش شوند. وب سرور نیز اینترنتی بوده و همین می تواند مشکلی برای اکثریت کاربران و برنامه نویسان باشد. نرم افزار شبیه ساز XAMPP بعنوان یک ابزار جهت توسعه طراحی شده‌است تا به طراحان سایت و برنامه نویسان اجازه آزمایش کارهایشان را روی کامپیوتر خودشان بدهد بدون اینکه نیاز به دسترسی به اینترنت داشته باشند.

آن ها حتی با داشتن حداقل اطلاعات راجع به نصب نرم افزارهایی همچون MySQL, PHP, Apache بتوانند آن ها را به راحتی و بدون هیچ دردسری به صورت اتوماتیک نصب، پیکربندی و یکپارچه سازی کنند. در واقع می توان گفت این نرم افزار برای اجرای کدهای php در سیستم شما و به صورت localhost می باشد تا با لوکال نمودن کامپیوتر شخصی خود بتوانند کارهای خود را قبل از آپلود کردن و تست آن بر روی هاست اصلی، بر روی کامپیوتر خود تست کنند و این باعث شده تا XAMPP یکی از پرکاربرد ترین نرم افزارها برای برنامه نویسان پی اچ پی است.

از ویژگی های بارز این نرم افزار می توان به موارد زیر اشاره کرد:

➕ راه اندازی یک وب سرور بر روی کامپیوتر شخصی
➕ نصب و پیکربندی خودکار MySQL, PHP, Apache و ...
➕ ادغام و یکپارچه سازی خودکار برنامه های نصب شده
➕ اجرای کدهای PHP
➕ بدون نیاز به تهیه هاست از اینترنت
➕ نصب تمامی CMSها بر روی کامپیوتر و کار بصورت آفلاین
➕ حاوی برنامه های بسیار مفید Apache, MySQL, PHP + PEAR, Perl, mod_php, mod_perl, mod_ssl, OpenSSL, phpMyAdmin, Webalizer, Mercury Mail Transport System for Win32 و NetWare Systems v3.32, Ming, FileZilla FTP Server, mcrypt, eAccelerator, SQLite, and WEB-DAV + mod_auth_mysql
➕ و ...

آشنایی با نرم افزارهای مدیریت هاست

☀️ آشنایی با نرم افزارهای مدیریت هاست ( کنترل پنل هاست ) :

در مطالب پیشین با هاست آشنا شدیم و دانستیم که به فضای موجود در اینترنت که برای نگه داری وبسایت و محتوای آن کاربرد دارد، هاست می گویند. کنترل پنل هاست در واقع یک نرم افزار مدیریت قابلیتهای هاست میباشد که به دارنده هاست امکان دسترسی و مدیریت تمامی امکانات هاست خودش را در محیط امن ، میدهد.

برخی از این قابلیتها شامل : امکان ارسال فایل ، مدیریت ایمیلها ، طراحی و تغییر صفحات وب و نصب نرم افزارهای CMS و دسترسی به پایگاه داده و ... میشود .

✔️ از مشهورترین کنترل پنل های هاست می توان به Cpanel، DirectAdmin و Plesk اشاره کرد.