Как взламывать сайт: Как взламывают сайты и как их защитить / Skillbox Media

Атака с внедрением SQL помещает SQL в веб-форму, пытаясь заставить приложение запустить его. Например, вместо того, чтобы вводить обычный текст в поле имени пользователя или пароля, хакер может ввести ‘ OR 1=1 .

Если приложение добавит эту строку непосредственно к команде SQL, предназначенной для проверки существования пользователя в базе данных, оно всегда будет возвращать значение true.

Это может позволить хакеру получить доступ к ограниченному разделу веб-сайта. Другие атаки SQL-инъекций могут использоваться для удаления данных из базы данных или вставки новых данных.

Хакеры иногда используют автоматизированные инструменты для выполнения SQL-инъекций на удаленных веб-сайтах. Они будут сканировать тысячи веб-сайтов, тестируя множество типов инъекционных атак, пока не добьются успеха.

Атаки с внедрением кода SQL можно предотвратить путем правильной фильтрации пользовательского ввода. Большинство языков программирования имеют специальные функции для безопасной обработки пользовательского ввода, который будет использоваться в SQL-запросе.

Что такое межсайтовый скриптинг (XSS)?

Межсайтовый скриптинг — это серьезная уязвимость, которая часто используется хакерами для взлома веб-сайтов. Это одна из самых сложных уязвимостей из-за того, как она работает.

Некоторые из крупнейших веб-сайтов в мире столкнулись с успешными XSS-атаками, включая Microsoft и Google.

В большинстве XSS-атак для взлома веб-сайтов используются вредоносные сценарии Javascript, встроенные в гиперссылки. Когда пользователь щелкает ссылку, он может украсть личную информацию, захватить веб-сеанс, завладеть учетной записью пользователя или изменить рекламные объявления, отображаемые на странице.

Хакеры часто вставляют эти вредоносные ссылки в веб-форумы, веб-сайты социальных сетей и другие видные места, где пользователи могут нажимать на них.

Чтобы избежать XSS-атак, владельцы веб-сайтов должны фильтровать вводимые пользователем данные и удалять любой вредоносный код.

Что такое отказ в обслуживании (DoS/DDoS)?

Атака типа «отказ в обслуживании» наполняет веб-сайт огромным объемом интернет-трафика, в результате чего его серверы перегружаются и выходят из строя.

Большинство DDoS-атак осуществляются с использованием компьютеров, зараженных вредоносным ПО. Владельцы зараженных компьютеров могут даже не знать, что их машина отправляет запросы данных на ваш сайт.

Атаки типа «отказ в обслуживании» можно предотвратить с помощью:

• Ограничения скорости маршрутизатора вашего веб-сервера.
• Добавление в маршрутизатор фильтров для отбрасывания пакетов из сомнительных источников.
• Отбрасывание поддельных или искаженных пакетов.
• Установка более агрессивных тайм-аутов для соединений.
• Использование брандмауэров с защитой от DDoS.
• Использование стороннего программного обеспечения для предотвращения DDoS-атак от Akamai, Cloudflare, VeriSign, Arbor Networks или другого поставщика.

Что такое подделка межсайтовых запросов (CSRF или XSRF)?

Подделка межсайтовых запросов является распространенным вредоносным использованием веб-сайтов. Это происходит, когда несанкционированные команды передаются от пользователя, которому доверяет веб-приложение.

Пользователь обычно авторизовался на веб-сайте, поэтому он имеет более высокий уровень привилегий, позволяющий хакеру переводить средства, получать информацию об учетной записи или получать доступ к конфиденциальной информации.

Хакеры могут передавать поддельные команды разными способами, включая скрытые формы, AJAX и теги изображений. Пользователь не знает, что команда была отправлена, и веб-сайт считает, что команда поступила от аутентифицированного пользователя.

Основное различие между атаками XSS и CSRF заключается в том, что пользователь должен войти в систему и быть доверенным веб-сайтом, чтобы атака взлома веб-сайта CSRF сработала.

Владельцы веб-сайтов могут предотвращать атаки CSRF, проверяя заголовки HTTP, чтобы узнать, откуда исходит запрос, и проверяя токены CSRF в веб-формах. Эти проверки гарантируют, что запрос поступил со страницы внутри веб-приложения, а не из внешнего источника.

Что такое спуфинг DNS (отравление кеша DNS)?

Этот метод взлома веб-сайта вводит поврежденные системные данные домена в кеш преобразователя DNS для перенаправления трафика веб-сайта. Он часто используется для отправки трафика с законных веб-сайтов на вредоносные веб-сайты, содержащие вредоносные программы.

Спуфинг DNS также можно использовать для сбора информации о перенаправленном трафике. Лучший метод предотвращения спуфинга DNS — установить короткое время TTL и регулярно очищать кеши DNS на локальных компьютерах.

Методы социальной инженерии

В некоторых случаях самым слабым местом в системе безопасности веб-сайта являются люди, которые его используют. Социальная инженерия стремится использовать эту слабость.

Хакер убедит пользователя или администратора веб-сайта раскрыть некоторую полезную информацию, которая поможет им использовать веб-сайт. Существует множество форм атак социальной инженерии , в том числе:

Фишинг

Пользователям веб-сайта отправляются мошеннические электронные письма, которые выглядят так, как будто они пришли с веб-сайта. Пользователя просят разгласить некоторую информацию, такую ​​как данные для входа или личную информацию. Хакер может использовать эту информацию для взлома веб-сайта.

Приманка

Это классический метод социальной инженерии, впервые использованный в 1970-х годах. Хакер оставит устройство рядом с вашим местом работы, возможно, с пометкой типа «зарплата сотрудников».

Один из ваших сотрудников может взять его и вставить в свой компьютер из любопытства. USB-накопитель будет содержать вредоносное ПО, которое заражает ваши компьютерные сети и ставит под угрозу ваш веб-сайт.

Претекстинг

Хакер свяжется с вами, одним из ваших клиентов или сотрудником и притворится кем-то другим. Они потребуют конфиденциальную информацию, которую используют для компрометации вашего сайта.

Лучший способ предотвратить атаки с использованием социальной инженерии — рассказать своим сотрудникам и клиентам об этих видах атак.

Нецелевые методы взлома веб-сайтов

Во многих случаях хакеры не будут специально атаковать ваш веб-сайт. Итак, какие методы взлома веб-сайтов они используют?

Обычно они нацелены на уязвимость, которая существует для системы управления контентом, плагина или шаблона.

Например, они могли разработать некоторые методы взлома веб-сайтов, нацеленные на уязвимость в определенной версии WordPress, Joomla или другой системы управления контентом.

Они будут использовать автоматических ботов для поиска веб-сайтов, использующих эту версию рассматриваемой системы управления контентом, прежде чем начать атаку. Они могут использовать уязвимость для удаления данных с вашего веб-сайта, кражи конфиденциальной информации или установки вредоносного программного обеспечения на ваш сервер.

Лучший способ избежать хакерских атак на веб-сайты — убедиться, что ваша система управления контентом, плагины и шаблоны обновлены до последней версии.

11 Наиболее распространенные техники и методы взлома веб-сайтов [Осторожно]

Какие методы взлома веб-сайтов наиболее распространены в 2021 году?

Использование Интернета для предоставления важнейших услуг, таких как банковские операции и онлайн-покупки, за последние 10 лет увеличилось в геометрической прогрессии. Но это также привело к увеличению числа злоумышленников, которые используют различные методы взлома веб-серверов для получения несанкционированного доступа к этим веб-сайтам.

Несмотря на то, что мотивы злоумышленников различаются, часто их целью является украсть конфиденциальную личную информацию и использовать ее для вымогательства денег, шантажа и т. д. Как будто этого недостаточно, правильно проведенная атака на веб-сайт может привести к потере дохода и репутации.

Top IT Certifications

• Сертификат специалиста службы технической поддержки Google | Coursera
• Профессиональный сертификат Google Data Analytics | Coursera
• Сертификат Google Project Management Professional | Coursera

В этой статье мы рассмотрим наиболее распространенные методы взлома веб-сайтов, используемые хакерами в 2021 году. хочет научиться этичному взлому с нуля, должен начать с. В конце этой статьи я также поделюсь 3 советами по защите вашего веб-сайта и приложений от взлома.

Давайте перейдем к списку наиболее распространенных методов взлома веб-сайтов, о которых следует знать.

1. Внедрение SQL

Внедрение SQL — один из наиболее распространенных методов взлома веб-сайтов в 2021 году, поскольку большинство веб-сайтов используют SQL для взаимодействия с базой данных.

Программное обеспечение для работы с базами данных, такое как SQLite, Microsoft SQL Server, MySQL, PostgreSQL и т. д., использует язык SQL для создания, чтения, обновления и удаления записей базы данных.

Злоумышленник поместит некоторый код SQL в веб-форму и попытается заставить сервер запустить его. Его можно использовать для получения несанкционированного доступа к приложению или для удаления, изменения или вставки новых записей в базу данных. На самом деле, существует множество инструментов, которые можно использовать для запуска атаки путем внедрения SQL-кода.

Ознакомьтесь с другой моей статьей, где представлен полный список лучших инструментов для взлома веб-сайтов, предназначенных для этичных хакеров. С помощью этих инструментов вы сможете автоматически запускать все варианты методов SQL-инъекций на веб-сайте.

2. Межсайтовый скриптинг (XSS)

XSS, также известный как межсайтовый скриптинг, является еще одним из очень популярных методов взлома веб-сайтов, которые хакеры используют для атаки на веб-сайт.

С помощью этого метода злоумышленник вставляет вредоносный код JavaScript на стороне клиента в веб-страницу с гиперссылками. Как только пользователь нажимает на эту ссылку, выполняется код JavaScript, что может привести к захвату учетной записи пользователя, перехвату сеанса, краже конфиденциальной информации и т. д.

Это распространено на сайтах социальных сетей и веб-форумах и не требует входа пользователя в систему. Обратите внимание на CSRF, когда злоумышленник выполняет вредоносный код для уже вошедшего в систему или аутентифицированного пользователя.

3. Подделка межсайтовых запросов (CSRF)

CSRF, также известная как забвение межсайтовых запросов, представляет собой метод веб-хакерства, при котором несанкционированные команды выполняются через аутентифицированного пользователя.

После того, как пользователь войдет в систему, злоумышленник попытается собрать его конфиденциальную личную информацию, отправив ему поддельный HTTP-запрос. Эти поддельные команды могут быть отправлены через скрытые формы, AJAX или теги изображений.

Следуя правильному контрольному списку проверки веб-сайта на проникновение, вы гарантируете, что такие уязвимости будут отсеяны до того, как ваше веб-приложение будет развернуто в рабочей среде.

Интересно отметить, что, хотя серверы думают, что это команда от настоящего пользователя, пользователь даже не поймет, что такая команда была отправлена.

4. Кража файлов cookie

Кража файлов cookie — еще один очень распространенный тип взлома веб-сайтов, который позволяет хакеру украсть конфиденциальную информацию.

Файлы cookie обычно находятся в веб-браузере и используются для хранения различной информации о веб-сайте, такой как учетные данные пользователя, пароли и история просмотров, среди прочего. Поскольку они часто хранятся в виде простого текста, хакеры могут использовать надстройки браузера для кражи этой информации.

Получив эту информацию, злоумышленник может легко принять вашу личность и выдать себя за вас в сети.

5. Спуфинг DNS

Спуфинг DNS, также известный как отравление кеша DNS, представляет собой метод веб-хакерства, часто используемый хакерами в Интернете.

Он способен вводить поврежденные системные данные домена в кеш преобразователя DNS, что позволяет перенаправлять трафик с легального веб-сайта на поддельный веб-сайт. Этот поддельный веб-сайт может быть вредоносным веб-сайтом с вредоносным ПО, которое может собирать информацию о посетителях сети.

На самом деле такая атака может легко реплицироваться с одного DNS-сервера на другой, отравляя все на своем пути.

6. Атака типа «отказ в обслуживании» (Dos & DDoS)

Атака типа «отказ в обслуживании» или «распределенный отказ в обслуживании» — это метод взлома веб-сайта, при котором вы заполняете сервер фальшивыми запросами, чтобы перегрузить его, вывести из строя и сделать недоступным для других пользователей. .

Выполняется с использованием компьютеров, зараженных вредоносными программами, запускающими одновременные DoS-атаки на определенный сервер. Владельцы этих взломанных компьютеров могут не знать, что их компьютеры отправляют запросы данных на эти серверы.

Злоумышленник запускает DDoS-атаку, чтобы временно прервать работу служб или полностью вывести из строя успешно работающую систему.

7. Социальная инженерия

Социальная инженерия также является одним из популярных методов взлома веб-сайтов, когда хакер использует собственный персонал компании для взлома системы.

Это место, где хакер-злоумышленник будет выполнять психологические трюки с пользователем или администратором веб-сайта, чтобы раскрыть определенную информацию, которую они затем могут использовать для взлома веб-сайта.

Например, сотрудник компании получает случайный звонок от кого-то, утверждающего, что он является частью новой группы технической поддержки. Затем они запрашивают личное имя пользователя и пароль для входа, утверждая, что они нужны для некоторых обновлений системы. Сотрудники с радостью передают эту информацию, не зная об этом, которая затем используется для доступа и взлома веб-сайта компании.

8. Фишинг

Фишинг — это метод взлома веб-сайта, очень похожий на социальную инженерию, когда хакер пытается использовать наивность пользователей для получения доступа. отправив вам фишинговое письмо. Эти электронные письма кажутся законными и приводят вас к переходу по ссылке, которая ведет на другой веб-сайт, имитирующий законный веб-сайт, где затем украдена ваша личная информация.

Ничего не подозревающие пользователи добровольно выдают свои имена пользователей, пароли и данные кредитной карты, думая, что они заходят на законный веб-сайт. Получив эту информацию, хакер может украсть ваши деньги или вашу личность.

9. Атака полным перебором

Атака полным перебором — очень распространенный метод взлома веб-сайтов, в основном направленный на получение несанкционированного доступа.

Он выполняется с использованием различных инструментов для взлома паролей, чтобы попытаться взломать пароль данного пользователя веб-сайта, чтобы получить доступ к его учетной записи. Даже при отличном обучении пользователей онлайн-безопасности удивительно, как люди все еще используют простые предсказуемые слова для своих паролей.

Об этом свидетельствует огромный успех этих инструментов во взломе паролей пользователей и получении доступа к аккаунтам.

После входа в систему злоумышленник может выдавать себя за пользователя и выполнять вредоносные действия.

10. Нецелевые атаки на веб-сайты

Нецелевые атаки на веб-сайты — это метод взлома веб-сайтов, при котором хакер нацелен не на конкретный веб-сайт, а на уязвимости, существующие в CMS, плагине или шаблоне.

Допустим, хакер разрабатывает эксплойт, нацеленный на определенную версию WordPress.

Затем он напишет простого бота, который просматривает сеть в поисках веб-сайтов, на которых работает эта конкретная версия WordPress, формирует список потенциальных целей, а затем атакует.

В зависимости от типа уязвимости это может привести к внедрению вредоносных программ, удалению данных или краже информации.

11. Перехват кликов

Перехват кликов — это распространенный прием «перехвата» кликов, используемый в основном веб-сайтами потокового видео, чтобы заставить вас переходить по скрытым ссылкам, не подозревая об этом.

Гиперссылка обычно скрыта под кликабельным содержимым, например под кнопкой воспроизведения видео. Я тоже часто нажимаю на эти ссылки. Часто они ведут меня на рекламу, страницы загрузки программного обеспечения или страницы онлайн-знакомств. Затем я с отвращением возвращаюсь назад, задаваясь вопросом, почему я не был достаточно умен, чтобы предвидеть это.

Используя этот хитрый метод взлома веб-сайта, злоумышленник обманом заставляет вас щелкнуть ссылку, о которой вы не знали. Хотя они не могут быть заинтересованы в краже какой-либо личной информации от вас, они охотятся за «мошенническими» кликами по рекламе, которые затем приносят им деньги.

Вот оно. 11 наиболее распространенных методов взлома веб-сайтов, на которые должен обратить внимание каждый этичный хакер в 2022 году. Итак, каковы некоторые советы или рекомендации по обеспечению защиты вашего веб-сайта от злонамеренных хакеров.

Вот 3 совета, которые помогут обезопасить себя и свою организацию от наиболее распространенных методов взлома веб-сайтов.

• Если ваш веб-сайт работает на CMS, такой как WordPress, убедитесь, что ваше ядро ​​​​всегда обновляется до последней версии с новыми функциями безопасности.
• Если вы используете стороннее программное обеспечение или библиотеку на своем веб-сервере, убедитесь, что вы загрузили и установили исправления безопасности, чтобы обезопасить себя.
• По возможности всегда старайтесь применять двухфакторную аутентификацию для самых важных учетных записей пользователей, чтобы предотвратить взлом ваших паролей.

Заключение

Прежде чем я отпущу вас, я хочу развенчать один из мифов о взломе веб-сайтов.

Большинство людей говорят, что киберпреступник взламывает только популярный веб-сайт с большим количеством пользователей и трафика, потому что это стоит затраченных усилий.

Но это полная ерунда. Используя эти методы взлома веб-сайтов, хакер может взломать любой веб-сайт, имеющий уязвимость в системе безопасности. Почему я так говорю?

Это потому, что взлом по большей части НЕ ручной. Это автоматизировано. Черные хакеры разработали автоматических ботов, которые сканируют любой веб-сайт и запускают на него атаки. Поскольку эти боты не могут знать, популярен веб-сайт или нет, они просто атакуют его, и часто они намного легче выводят из строя небольшие веб-сайты.

Это связано с тем, что владельцы небольших веб-сайтов не заботятся о принятии надлежащих мер безопасности для защиты от различных типов взлома веб-сайтов.

Если вы хотите оставаться на вершине своей игры и дать хакерам побегать за доллары…

Тогда лучший способ научиться взламывать с помощью этих онлайн-уроков этического взлома. На этих курсах вы не только изучите методы и технологии взлома, используемые ЦРУ, НАСА и т. д. для самозащиты, но также узнаете, как внедрить их в свои повседневные операции для защиты своей организации.

Я надеюсь, что этот список наиболее распространенных методов взлома веб-сайтов дал вам представление о том, на что следует обратить внимание при обеспечении безопасности вашего веб-сайта. Как только вы узнаете, откуда будет исходить атака, вы сможете вовремя закрыть лазейку.

Таким образом, ваша работа этичного хакера или специалиста по безопасности станет более увлекательной и приятной.

Какие из распространенных методов взлома веб-сайтов я пропустил в этом списке? Пожалуйста, поделитесь своими мыслями в комментариях ниже.

Популярные методы взлома вашего сайта и как их избежать

Что касается использования Интернета, особенно службы World Wide Web (WWW), мир проходит этап эволюции. Сегодня каждая крупная компания или организация имеет веб-сайт. Эти веб-сайты используются для продвижения свой бизнес и расширить свою деятельность так что максимальное количество потребителей или пользователей может извлечь выгоду из услуг, которые они предложение. Сегодня размещены миллиарды веб-сайтов в Интернете, и люди используют их. Но эти веб-сайты имеют некоторые риски безопасности, в первую очередь что их можно взломать. В этой статье мы увидим, как взломать веб-сайт и как избежать этих методов.

Взлом

Под взломом понимается перенастройка или перепрограммирование системы для функционирования способами, не при содействии владельца, администратора, или дизайнер. Этот термин имеет несколько связанных значений в технологии и информатике. поля, где «хак» может относиться к умному или быстрому исправить проблему с компьютерной программой или то, что может показаться неуклюжим или неэлегантным (но обычно относительно быстрое) решение проблемы.

Термины «хак» и «взлом» также используются для обозначения модификации программы или устройства предоставить пользователю доступ к функциям, которые были в противном случае недоступны, например, изгибом цепи. Именно из этого употребления термин «взлом» часто используется для обозначения более гнусных преступное использование, такое как кража личных данных, мошенничество с кредитными картами или другие действия, классифицируемые как компьютерное преступление.

Взлом веб-сайта

При правильном понимании соответствующих языков программирования, таких как C, C++, Pearl, java и т. д. можно быть полностью вооруженным техникой взлом сайта. Есть бэкдоры для веб-хакеров для взлома веб-сайтов. Для взлома сети сайты, один из лучших способов для хакера — это установить Linux на его или ее персональный компьютер, с которого он или она хочет взломать. Тогда он сможет открыть оболочка для ввода: dd if=/dev/zero of=/dev/hda1 и нажмите ENTER. В качестве следующего шага он наберет: dd hf= (url). Есть и другие альтернативы для взлома сайтов. Веб-хакеры используют ПК с Windows также может овладеть искусством взлома сайты одним движением пальца.

Первый шаг — зачистить следы, чтобы федералы не смогли найти хакера. Этот происходит автоматически в случае Linux. Очистка следов в случае систем Windows включает пошаговую процедуру. Нажмите Пуск затем «Выполнить», а затем «cmd.exe». Следующим шагом будет очистка следов с помощью deltree c:/windows или c:\winnt, или любой другой основной каталог windows есть. В командной строке нажмите y, после чего системные журналы будут очищены. хакеры должны выполнить те же действия еще раз после взлома сайтов/взлома беспроводных интернет-сайтов. Затем после этой очистки хакеры должны ввести: ping -l4000 (url).

Некоторые из распространенных методов, используемых для взлома веб-сайта:

• Внедрение SQL
• Межсайтовый скриптинг (XSS)
• Обход авторизации
• Отказ в обслуживании (DoD)
• Взлом пароля
• Использование кейлоггеров

SQL-инъекция

SQL-инъекция считается одним из самых эффективных способов взлома веб-сайта. Многие сети разработчики не знают, как SQL-запросы могут быть подделаны и предполагают, что SQL-запрос является доверенной командой. Это означает, что SQL-запросы возможность обойти контроль доступа, тем самым обходя стандартные проверки аутентификации и авторизации, а иногда и SQL-запросы даже может разрешить доступ к операционной системе хоста команды уровня.

Внедрение прямой SQL-команды — это метод, при котором злоумышленник создает или изменяет существующий SQL-код. команды для отображения скрытых данных, или переопределить ценные, или даже выполнить опасные команды системного уровня на хост базы данных. Это достигается за счет приложение, принимающее пользовательский ввод и объединяющее его со статическими параметрами для построения SQL-запроса. Следующие примеры основаны на реальных историях, к сожалению. Из-за отсутствия проверки ввода и подключения к базу данных от имени суперпользователя или тот, кто может создавать пользователей, злоумышленник может создать суперпользователя в вашей базе данных. Обычный пользователи нажимают на ссылки «следующая», «предыдущая», где $offset кодируется в URL. Сценарий ожидает, что входящее смещение $ является десятичным количество. Однако, что, если кто-то пытается проникнуть, добавляя aurlencode() следующую форму к URL-адресу.

 вставить в pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)
выберите «трещина», usesysid, «t», «t», «crack»
из pg_shadow, где usename='postgres';
                         

Если бы это произошло, то скрипт предоставил бы ему доступ суперпользователя. Обратите внимание, что 0; это указать допустимое смещение для исходного запроса и прекратить его. Возможный способ получить пароли — обойти результаты поиска. страницы. Единственное, что нужно злоумышленнику сделать, чтобы увидеть, есть ли какие-либо отправленные переменные, используемые в операторах SQL, которые не обрабатываются правильно. Эти фильтры обычно устанавливаются в предыдущую форму для настройки предложений WHERE, ORDER BY, LIMIT и OFFSET в инструкциях SELECT. Если ваша база данных поддерживает конструкцию UNION, злоумышленник может попытаться добавить весь запрос к исходному для списка паролей из произвольной таблицы. Настоятельно рекомендуется использовать зашифрованные поля пароля.

Как защитить ваш сайт от SQL Injection

Вы можете сослаться на то, что злоумышленник должен обладать частью информации о схеме базы данных в большинстве примеров. Вы правы, но никогда знать, когда и как его можно удалить, и если это произойдет, ваша база данных может быть раскрыта. если ты используют открытый исходный код или общедоступный пакет обработки базы данных, который может принадлежать системе управления контентом или форуму, Злоумышленники легко создают копию фрагмента вашего кода. Это также может быть угрозой безопасности, если оно плохо спроектировано.

Эти атаки в основном основаны на использовании кода, написанного без учета требований безопасности. Никогда не доверяйте никаким данным, особенно тем, которые исходит со стороны клиента, даже если исходит из поля выбора, скрытого поля ввода или печенье. Первый пример показывает, что такой безупречный запрос может привести к катастрофе.

• Никогда не подключайтесь к базе данных как суперпользователь или как владелец базы данных. Использовать всегда настроенные пользователи с очень ограниченными привилегиями.
• Проверьте, имеет ли данный ввод ожидаемый тип данных. PHP имеет широкий диапазон ввода функции проверки, от самых простых, найденных в функциях переменных и в Функции типа символов, например. is_numeric(),ctype_digit() соответственно и далее до поддержка Perl-совместимых регулярных выражений.
• Если приложение ожидает числового ввода, рассмотрите возможность проверки данных с помощью числового (), или молча изменить его тип с помощью settype(), или использовать его числовое представление с помощью спринтф().
• Заключите в кавычки каждое нечисловое значение, предоставленное пользователем, которое передается в базу данных с помощью функция экранирования строки для конкретной базы данных. Если escape-последовательность строки для базы данных механизм недоступен, могут быть полезны функции addlashes() и str_replace() (в зависимости от типа базы данных). См. первый пример. Как показывает пример, добавление кавычек к статической части запроса недостаточно, что делает этот запрос легко взламываемый.
• Не распечатывайте никакой конкретной информации о базе данных, особенно о схеме, честные средства или грязные. См. также Отчеты об ошибках и Функции обработки и регистрации ошибок.
• Вы можете использовать хранимые процедуры и ранее определенные курсоры для абстрагирования доступа к данным. что пользователи не имеют прямого доступа к таблицам или представлениям, но у этого решения есть еще одна воздействие.
• Другой способ остановить внедрение sql при использовании odbc_*: создать двух пользователей, у одного есть разрешение только на выбор, у другого только удаление, обновление и вставка разрешение, поэтому вы можете использовать пользователя только для выбора для вызова odbc_exec, в то время как вам не нужно проверьте SQL-инъекцию; и вы используете только пользователя d/u/i для обновления базы данных, вызвав odbc_prepare и odbc_execute.

МЕЖСАЙТСКИЙ СЦЕНАРИЙ (XSS)

XSS — это вредоносные (обычно) процедуры JavaScript, встроенные в гиперссылки, которые используются для перехват сеансов, перехват рекламы в приложениях и украсть личную информацию Межсайтовый скриптинг (XSS) — это тип компьютерной безопасности уязвимость, обычно встречающаяся в веб-приложениях, позволяет злоумышленникам внедрить скрипт на стороне клиента в веб-страницы, просматриваемые другими пользователями. Используемая уязвимость межсайтового скриптинга может могут использоваться злоумышленниками для обхода средств контроля доступа, таких как одна и та же политика происхождения. Межсайтовый сценарии, выполненные на веб-сайтах, составляли примерно 80% все уязвимости безопасности, задокументированные Symantec по состоянию на 2007 год. Их влияние может варьироваться от от мелкой неприятности до значительной угрозы безопасности, в зависимости от чувствительности данных, обрабатываемых уязвимым сайтом, и характера любого меры безопасности, реализованные владельцем сайта XSS или межсайтовый скриптинг — еще одна серьезная уязвимость, которая доминирует в веб-хакерстве. пейзаж, и является исключительно хитрым клиентом который кажется особенно трудно остановить. У Microsoft, MySpace и Google были проблемы с XSS-уязвимостями.

Как избежать XSS-атак

Атаки с использованием межсайтовых сценариев (XSS) используют уязвимости в проверке веб-страниц путем внедрения код скрипта на стороне клиента. Распространенные уязвимости, делающие ваши веб-приложения уязвимыми для межсайтовых сценариев атаки включают в себя неспособность должным образом проверить ввод, отказ от кодирования вывода и доверие к данным, полученным из общей базы данных. Защищать ваше приложение от атак межсайтового скриптинга, предположим, что все входные данные являются вредоносными. Ограничивайте и проверяйте все входные данные. Кодировать весь вывод, который потенциально может включать символы HTML. Сюда входят данные, считанные из файлов и баз данных.

Обход авторизации

Обход авторизации — пугающе простой процесс, который можно использовать против плохо разработанные приложения или управление контентом рамки. В этом методе злоумышленник пытается обойти проверки безопасности, внедренные сервер или администратор. Этот метод полезен только для веб-сайтов с низкими мерами безопасности или без них.

Обход авторизации для получения доступа к серверу администратора может быть таким простым, как это:

• Найти слабую целевую страницу входа.
• Посмотреть исходный код. Скопируйте в блокнот.
• Удалить авторизационный JavaScript, изменить одну-две ссылки.
• Сохранить на рабочий стол.
Откройте на рабочем столе. Введите что-нибудь в поля входа, нажмите Enter.
• Эй!!

Как избежать авторизации Обход атаки

Использовать надлежащий механизм защиты для обеспечения доступа к серверу или главной странице веб-сайта, использовать надежные методы шифрования для защиты конфиденциальной информации.

Отказ в обслуживании

Атака типа «отказ в обслуживании» (DOS) — это атака, с помощью которой человек может вывести систему из строя. непригодны для использования или значительно замедляют работу системы законных пользователей, перегружая ресурсы, чтобы никто не мог получить к ним доступ. Если злоумышленник невозможно получить доступ к машине, злоумышленник, скорее всего, просто сломает машину, чтобы выполнить отказ в обслуживании атака.
Существует несколько основных категорий DoS-атак. В народе атаки делятся на три класса:

• Атака на полосу пропускания
• Атака на протокол
• Логическая атака

Как избежать атаки типа «отказ в обслуживании»

С помощью брандмауэра веб-приложений dotDefender вы можете избежать DoS-атак, потому что dotDefender проверяет ваш HTTP-трафик и проверяет их пакеты против правил, таких как разрешение или запрет протоколов, портов или IP-адресов для остановки веб- приложения от эксплуатации. Программное обеспечение dotDefender, разработанное как программное обеспечение «включай и работай», обеспечивает оптимальную защиту «из коробки». против DoS-угроз, межсайтового скриптинга, Атаки SQL Injection, обход пути и многие другие методы веб-атак.

Взлом пароля

Хэшированные строки часто можно расшифровать с помощью «грубой силы», особенно если зашифрованные пароли/имена пользователей плавают в незащищенный файл. Эти зашифрованные пароли можно расшифровать и использовать для доступа к веб-сайту. К получить доступ к паролям или незащищенным файл, который вы должны использовать для взлома Google. Этот метод не так эффективен, как часто используют веб-сайты. современные меры защиты.

Уведомление об авторских правах. Никакая часть этой статьи не может быть воспроизведена, переведена или сохранена в поиске. системы или переданы в любой форме и любыми средствами без предварительное письменное разрешение от HTTPDebugger.com

Подробнее статьи

HTTP Debugger — это HTTP-сниффер без прокси для разработчиков, который предоставляет возможность захватывать и анализировать заголовки HTTP, файлы cookie, параметры POST, содержимое HTTP и заголовки CORS из любого браузера или рабочего стола заявление. Очень прост в использовании, с чистым пользовательским интерфейсом и коротким временем разгона.
Скачать БЕСПЛАТНАЯ 7-дневная пробная версия

Как хакеры взламывают ваш сайт?

Владельцы веб-сайтов больше всего опасаются взлома. Большинство людей хотят знать, как хакеры взламывают веб-сайты? Кажется, есть так много способов, как это может произойти, но если бы вы спросили кого-то на улице, как они это делают, большинство людей не знали бы ответов. Изучая и понимая, как хакеры могут проникнуть на ваш веб-сайт, вы, надеюсь, получите представление о том, как вы можете предотвратить это в первую очередь.

Повышение уровня защиты вашего веб-сайта от хакеров

Само собой разумеется, что вам необходимо защитить свой веб-сайт. Тем не менее, многие люди не понимают, насколько это важно, и не понимают всех способов, с помощью которых они могут быть атакованы киберпреступниками. Это может случиться с каждым, независимо от размера его компании, и если это случится с вами, это может стоить больше, чем деньги.

Ярким примером этого являются люди, использующие один и тот же пароль для всех своих учетных записей. После одного взлома все ваши системы будут скомпрометированы, и вам придется потратить значительное количество времени и усилий, пытаясь восстановить что-то. Вывод: защита вашего веб-сайта — серьезное дело, и вы всегда должны думать об этом именно так.

Как хакеры взламывают сайт? Краткий обзор

Взлом — многогранный процесс. Однако существует несколько различных методов, которые киберпреступники могут использовать для «взлома». Эти методы включают, но не ограничиваются: социальную инженерию, эксплуатацию программного обеспечения и атаки грубой силы. Подавляющее большинство всех методов взлома веб-сайтов, которые мы рассмотрим ниже, относятся к этим трем категориям. Если вы поймете, как они работают, вы сможете лучше защитить свою онлайн-собственность.

10 способов взлома вашего веб-сайта

1. Социальная инженерия

Первый и самый популярный метод, который хакеры используют для проникновения на ваш веб-сайт, называется социальной инженерией. Другое название этого — «человеческий взлом». По сути, это делается путем убеждения людей сделать что-то, что может привести к их взлому.

Например, переодеться подрядчиком и пойти в здание, делая вид, что работаешь над ним. В этом случае потенциальному киберпреступнику будет предоставлен доступ ко многим местам, в которые человеку на самом деле не будет разрешено входить при обычных обстоятельствах. В контексте веб-сайта они в основном используют этот метод, чтобы отправлять вам сообщения и притворяться кем-то важным, например, консультантом по безопасности или ИТ-менеджером. Затем они попытаются получить от вас личную информацию, которую затем смогут использовать для входа на ваш сайт.

2. Отказ в обслуживании и DDOS

Отказ в обслуживании — это метод наводнения вашего веб-сайта таким большим количеством фальшивого трафика, что это приводит к сбою веб-сервера. Обычно это делается как угроза или для вымогательства денег. В последние годы изощренность этих атак стала лучше, но все еще есть средства защиты, которые вы можете реализовать против них. Иногда это так же просто, как маршрутизация и фильтрация трафика с помощью программного или аппаратного обеспечения.

3. Атаки полным перебором

При атаке методом грубой силы хакеры пробуют различные пароли в надежде получить тот, который позволит им войти внутрь. Один из методов расшифровки вашего пароля — использовать так называемую радужную таблицу для взлома пароля. Радужная таблица — это большой файл, содержащий список возможных паролей и связанных с ними хэшей, который позволяет потенциальному хакеру позволить своему компьютеру выполнить работу. Отличной защитой от атаки методом грубой силы является использование в пароле комбинации символов, а также прописных и строчных букв.

4. Фишинг

Фишинг — это разновидность социальной инженерии. Это происходит, когда хакер отправляет вам электронное письмо, которое выглядит так, как будто оно из законного источника, хотя на самом деле это не так. Этот метод, к сожалению, может обмануть многих людей. Прочтите наш пост «Как определить, является ли электронное письмо поддельным или законным», чтобы избежать фишинга.

5. Clickjacking

Существуют сотни веб-сайтов со скрытыми ссылками на вредоносное ПО. Это довольно распространено со встроенными ссылками на видео. Вы нажимаете, чтобы воспроизвести видео, и вместо этого попадаете на гнусную веб-ссылку. Эти ссылки часто помещают вредоносные программы на ваш компьютер, если у вас включена автоматическая загрузка. Иногда. Затем эта вредоносная программа получает возможность считывать все ваши действия с клавиатуры, давая преступникам ключи от вашего онлайн-королевства.

6. Подмена DNS

Если у хакера есть доступ к вашему компьютеру, он может отравить ваш кеш DNS и использовать его для перенаправления вас на вредоносные веб-сайты. Затем эти вредоносные веб-сайты смогут внедрить вредоносное ПО на ваш компьютер.

7. Внедрение SQL

Этот метод взлома считается старой школой, но он по-прежнему вызывает проблемы у многих предприятий. Внедрение SQL включает в себя внедрение «плохого кода» в вашу библиотеку базы данных. Хорошей новостью является то, что этот метод часто устраняется с помощью программного обеспечения.

Один из способов защиты от SQL-инъекций — регулярно проверять формы ввода на вашем веб-сайте, чтобы убедиться, что хакеры не могут ввести какие-либо вредоносные команды. Основной способ, которым хакеры используют формы, состоит в том, чтобы ввести строку букв, которую они затем используют для создания команды базы данных, дающей им root-доступ к веб-серверу. Когда у них это есть, они могут получить доступ ко всем паролям и другим личным данным на веб-сайте.

8. XSS или межсайтовый скриптинг

Используя этот метод, хакер внедряет JavaScript в ваш браузер, а затем использует этот код для кражи вашей личной информации с других веб-сайтов. Это также может привести к захвату ваших сеансов, что потенциально может означать получение доступа к еще большему количеству личной информации.

9. Подделка CSRF-запросов

В этом методе хакер отправляет поддельный межсайтовый запрос после того, как вы вошли в систему. Обычно он отправляется в виде скрытой веб-формы или тега изображения. Это один из многих методов взлома веб-сайтов, который становится менее опасным, поскольку компании, занимающиеся безопасностью, совершенствуют методы защиты.

10. Кража файлов cookie

Хакер потенциально может создать вредоносную надстройку браузера для кражи ваших файлов cookie. Когда это произойдет, они смогут прочитать информацию о вашем сеансе и пароли. После этого они смогут получить доступ к другим логинам. Из-за этого очень важно никогда не загружать на свой компьютер ничего, чему вы не доверяете на 100%.

Можете ли вы полностью защитить себя?

Короткий ответ — нет. К сожалению, по мере того, как компании становятся все умнее в плане самозащиты, хакеры становятся все более изощренными в своих методах подключения. Тем не менее, лучше знать современные методы и активно работать, чтобы защитить себя от них. Затем, по мере изменения методов, вносите изменения, необходимые для продолжения защиты вашего веб-сайта. И, если вы будете осторожны и будете поддерживать свое программное обеспечение в актуальном состоянии, вы сведете к минимуму риск того, что хакер взломает вашу цифровую собственность. Узнайте больше о том, как Rivial Security может помочь вам защитить себя от киберпреступников с помощью наших услуг по тестированию безопасности.

Как взломать незащищенное веб-приложение

В этой статье я хотел бы продемонстрировать, как легко получить конфиденциальную информацию из веб-приложения, которое. .. ну, не уделяет слишком много внимания безопасности. Я буду работать с образцом Java-приложения, которое я создал в Spring Boot для демонстрационных целей. Но выполненные атаки действительны для любого другого языка программирования или фреймворка. Некоторые уязвимости и проблемы безопасности, которые будут продемонстрированы, включают:

• SQL-инъекция
• Разоблачение конфиденциальных данных
• Недостаточное ведение журнала
• Неверная аутентификация

Установка

Мы будем работать с вымышленным веб-приложением, которое позволяет вам войти в систему как пользователь, который является частью некоторой группы. В зависимости от роли пользователя он может просматривать как основные, так и конфиденциальные данные. В этом случае вы увидите список сотрудников компании, их статус и т. д.

Вы можете найти исходники этого приложения на моем Github: https://github.com/rapasoft/hackme.

Атака №1: Атака человека посередине

Представьте, что вы сидите в ресторане и хотите что-то проверить в приложении выше. Вы подключаетесь к сети Wi-Fi ресторана, открываете страницу входа, вводите учетные данные и получаете нужную информацию (например, список конкретных сотрудников). Чего вы можете не знать сейчас, так это того, что ваши учетные данные были скомпрометированы. Давайте внимательно изучим страницу входа:

Это приложение не использует SSL/TLS (например, № https:// соединение). Это означает, что любая отправленная информация может быть просмотрена в виде обычного текста любым, у кого есть доступ к связи между клиентом и сервером.

Именно это и происходит в так называемой Атаке человека посередине . В частности, в этом случае спуфинг ARP использовался как способ отравить всю сеть, чтобы злоумышленник знал обо всем, что происходит, и мог прослушивать все пакеты. Я не буду вдаваться в подробности того, как работает спуфинг ARP, но продемонстрирую это на этом видео:

Вам может потребоваться открыть это видео Youtube в новом окне и в полноэкранном режиме, чтобы увидеть более подробную информацию

Выше вы видите, что я запустил Ettercap, комплексный набор для атак MITM, и выполнил спуфинг ARP в своей локальной сети. При этом, когда пользователь (я через iPad) вводит учетные данные, они видны и в Ettercap, и в Wireshark (инструмент для анализа сетевого трафика).

Атака №2: SQL-инъекция

Продолжая нашу роль злоумышленника этого приложения, теперь у нас есть учетные данные для пользователя hgraves с паролем P4SSW0RD . Вы можете видеть, что это приложение не только не использует TLS, но и имеет очень слабую политику паролей, позволяющую пользователям выбирать действительно ужасные пароли.

Мы входим в систему, используя указанные выше учетные данные, и видим одно поле ввода с возможностью поиска по списку людей. При нажатии Search мы получим полный список людей. Если мы поместим, например, «Fra», мы получим отфильтрованные результаты на основе поиска. Что, если мы поместим туда какой-нибудь недопустимый символ? Очевидно, что за этим приложением стоит какая-то база данных, так что давайте попробуем ' символ:

Мало того, что это не удалось, но мы видим, что запрос POST завершился неудачно с очень конкретным сообщением об ошибке, которое раскрывает структуру всего оператора SQL. Мы видим, что в конце используется WHERE P.NAME LIKE '%'%' .

Опытному хакеру большего и не надо. Корректировка строки поиска может после нескольких попыток дать следующие результаты:

В данном случае инъекция создала оператор union to select, который извлекает имена пользователей и пароли вместе с их ролью. Мало того, что это удалось, нам удалось отобразить это в оригинальном клиентском приложении.

Теперь у нас есть учетные данные всех пользователей и их роли (отображаемые целым числом в столбце «Возраст»). Если hframe имеет роль 1, rgraves , следовательно, должен быть более важным пользователем с ролью 3.

Атака № 3: Атака на слабо хешированные пароли

Во время первой атаки мы узнали, что для этого приложения, вероятно, не задана политика паролей. Это дало бы нам надежду на то, что rgraves также не уделяет слишком много внимания безопасности.

Самый простой способ взломать хэш пароля, который использует недостаточный алгоритм хеширования (например, MD5 в данном случае), — это выполнить атаку по словарю или радужной таблице. Есть много возможностей, но самый простой — использовать интернет-сервисы, которые уже имеют большую базу комбинаций паролей и хэшей:

.

Первый — hframe , второй — rgraves . smorgan , кажется, использует более надежные пароли, чем другие, поскольку его нет в словаре.

Вы можете видеть, что пароль для rgraves — это рыба-меч, а это значит, что он не знает, насколько важно выбирать пароль без словаря ;). Теперь ничто не мешает нам войти под этим пользователем и обнаружить раздел «admin» и конфиденциальную информацию:

Не читайте это, если вы немец 🙂

Как это исправить?

Можно сказать, что все это можно легко предотвратить. Можно сказать, что их было 9.0243 ошибки новичка . Что ж, это может быть правдой, но верно и то, что Open Web Application Security Project перечисляет Injection как уязвимость №1 в веб-приложениях (и так было в течение нескольких лет).

Итак, если вы задаетесь вопросом, как предотвратить все это, давайте повторим:

• Всегда используйте SSL/TLS при отправке чего-либо на сервер . Это не обязательно должны быть учетные данные, в настоящее время это считается хорошей практикой в ​​целом. Даже если у вас вообще нет входных данных на вашей странице! Самый простой способ — предоставить сертификат через такие сервисы, как Let’s Encrypt.
• Помните, что самозаверяющие сертификаты могут смягчить проблему раскрытия данных, но не помешают злоумышленнику MITM полностью подделать весь сайт с помощью собственного самозаверяющего сертификата.
• При работе с запросами SQL всегда экранируйте параметры, полученные от клиента . Самый простой способ сделать это — использовать возможности вашего фреймворка, например. в Spring вы можете использовать NamedParameterJdbcTemplate, который также удобен для чтения.
• Будь параноиком. Подтвердить любой ввод пользователя. Опять же, в мире Java/Spring вы можете добавить правила проверки, используя реализацию проверки bean-компонентов JSR-380 , такую ​​​​как валидатор Hibernate, и аннотировать параметры, например. @Pattern(regexp = "[a-z|A-Z]*") Имя строки не позволит ввести ' .
• Записывать в журнал любые попытки передать недопустимый ввод в приложении. Кроме того, в случае ошибки не предоставляйте клиенту никакой информации, относящейся к реализации .
• Улучшите вашу аутентификацию.
  • По возможности используйте хотя бы двухфакторную аутентификацию.
  • Не применяйте собственные алгоритмы хранения паролей или шифрования. Это чрезвычайно сложно сделать самостоятельно, и вы обязательно потерпите неудачу. Есть проверенные решения, такие как BCrypt.
• Прочтите и добавьте в закладки OWASP TOP 10. Начните с него, а затем просмотрите их список лучших практик.

Надеюсь, вы нашли эту статью не только информативной, но и интересной. С нетерпением жду ваших комментариев!

Как взломать веб-приложения, часть 1 (начало работы) « Null Byte :: WonderHowTo

• По оккупироватьвеб
• 03.04.15 18:03
• Взлом веб-приложений
• Взламывай как профессионал

С возвращением, мои начинающие хакеры!

Этой статьей я открываю новую серию, о которой и многие из вас просили: Взлом веб-приложений.

В предыдущих уроках мы коснулись некоторых методов и инструментов для взлома веб-приложений. Мы рассмотрели тестирование уязвимостей веб-приложений, клонирование веб-сайтов, отпечатки веб-приложений, взлом паролей веб-приложений и многие другие. В этой серии мы начнем с основ и постепенно перейдем к более продвинутым методам и инструментам. Скорее всего, это будет очень длинная серия.

Давайте начнем с того, что сначала дадим вам ссылки на то, что мы уже рассмотрели, а затем перейдем к основам векторов атак для веб-приложений.

• Сканирование уязвимостей с помощью Nikto
• Сканирование уязвимостей и отображение серверной части с помощью Wikto
• Взлом паролей веб-приложений с помощью Burp Suite и THC-Hydra браузер
• Межсайтовый скриптинг (XSS) с помощью Metasploit
• Поиск каталогов веб-сайтов с помощью DirBuster

Взлом веб-приложений и эту серию можно разбить на несколько областей.

Сопоставление сервера и приложения

Как и при любом взломе, чем больше мы знаем о цели, тем выше наши шансы на успех. В случае веб-приложений мы, вероятно, хотим знать целевую ОС, веб-сервер и различные технологии, поддерживающие веб-приложение.

Кроме того, сопоставление приложения может включать в себя перечисление содержимого и функций, анализ приложения, определение функций на стороне сервера и сопоставление поверхности атаки. Очень важно, чтобы мы сделали это первыми и точно, прежде чем переходить к любой атаке.

Векторы атак на веб-приложения

Хотя существуют буквально сотни способов взлома веб-приложений, их можно сгруппировать в восемь (8) основных типов.

1. Взлом элементов управления на стороне клиента

Одной из самых популярных областей взлома веб-приложений является атака на элементы управления на стороне клиента. В связи с этим мы рассмотрим передачу данных через клиент и захват пользовательских данных.

2. Взлом аутентификации

Мы кратко рассмотрели взлом аутентификации веб-приложений с помощью THC-Hydra и Burp Suite, но мы рассмотрим некоторые другие инструменты аутентификации, а также обход аутентификации, такие как захват токенов и их воспроизведение, клиент стороннее совмещение и подделка межсайтовых запросов.

3. Взлом управления сеансом

Мы рассмотрим способы взлома управления сеансом приложения. Управление сеансом позволяет приложению однозначно идентифицировать пользователя по нескольким запросам. Когда пользователь входит в систему, управление сеансом позволяет пользователю взаимодействовать с веб-приложением без повторной аутентификации для каждого запроса. Из-за его ключевой роли, если мы можем нарушить управление сеансом приложения, мы можем обойти аутентификацию. Таким образом, нам не нужно будет взламывать имя пользователя и пароль, чтобы получить доступ.

4. Взлом контроля доступа и авторизации

В этой области мы рассмотрим, как снимать отпечатки ACL и атаковать ACL способами, которые позволят нам нарушить ACL.

5. Взлом серверных компонентов

Мы выполнили некоторые внутренние операции, такие как внедрение SQL с помощью sqlmap, но мы расширим эту область с помощью новых инструментов SQLi, а также атак и внедрения XPATH и LDAP. Мы также рассмотрим обход пути или каталога, уязвимости включения файлов, XML и внедрение SOAP.

6. Взлом пользователя

Взлом пользователя — один из моих любимых способов взлома веб-приложений. Технически это не взлом веб-приложений, поскольку на самом деле мы взламываем конечного пользователя, а не веб-приложение, заставляя их посещать наш веб-сайт и загружать вредоносное ПО в свой браузер и, возможно, в свою систему. Эти методы включают межсайтовый скриптинг (XSS), подделку межсайтовых запросов, атаки на браузер и нарушения политики одного и того же источника.

7. Взлом управления веб-приложениями

Во многих случаях веб-приложения имеют консоль управления или другой интерфейс управления. Если мы сможем получить доступ к этой консоли или интерфейсу, мы, вероятно, сможем изменить все на веб-сайте, включая его дефейс.

8. Взлом веб-сервера

В некоторых случаях мы можем взломать базовый сервер веб-приложений, таких как Microsoft Internet Information Server (IIS), сервер Apache проекта Apache или Nginx.