Để trở thành hacker cần phải học gì, cần có những hiểu biết cơ bản gì, hack như thế nào? Thật sự nó quá khó để trả lời, ngay cả nếu hỏi một hacker chuyên nghiệp, vì họ không có chuyên môn sư phạm, một câu trả lời không thể giúp bạn trở thành hacker, nó là cả một quá trình tích lũy kiến thức và kinh nghiệm. Để không bị chửi hay ném đá, bài viết này mình chỉ chia sẻ và trả lời câu hỏi “Làm thế nào để hack một website”, câu hỏi mà mình nhận được quá nhiều sau khi đăng bài viết “tôi đã hack Chợ Tốt như thế nào?/p>

Học làm hacker - 1

Đầu tiên, phải định rõ rằng tôi không phải là một hacker, mà chỉ là một coder tự do thực hiện việc code hằng ngày, vật vã với kiếm đủ cơm cháo để sống qua. Tôi không học bảo mật thông tin hay mở bán công nghệ ở lĩnh vực này, nhưng luôn học hỏi và tìm tòi nghiên cứu. Thỉnh thoảng, tôi cũng sẽ check các lỗi của những website và báo lỗi cho họ. Ví dụ như báo lỗi cho Chợ Tốt, hệ thống quản trị thông tin hành chính tỉnh X phát triển bởi VNPT…

Khi nghiên cứu, chúng tôi đã nhận thấy một cách nhìn độc đáo, thú vị và rất hữu ích cho việc lập trình của chúng ta là nhìn như một hacker.

Hacker phải biết lập trình

Mình muốn nói rằng trước khi bạn tự do làm gì đó với một website, bạn cần phải hiểu rõ cách nó hoạt động, cách được tạo ra. Giống như bạn phải biết những thứ mà con bé hàng xóm của bạn thích, đi đâu, có xem porn hay không, nhà ở có giàu hay không. Nếu bạn học lập trình tốt, thì bạn sẽ hiểu được cách hack một cách tự nhiên. Câu nói hay nhất là “Trước khi bạn làm việc lạ, bạn cần phải biết cách làm việc bình thường”.

Không có trình độ lập trình của tôi, tôi muốn thử hack một thứ gì đó để tạo ra cảm giác như một hacker có thể đạt được không?

Có thể vui chơi, hiện nay có rất nhiều công cụ và hướng dẫn trên Google để bạn có thể tự mình hack, để đặt avatar mặt nạ anonymous cho ngầu để tán gái, nhưng bạn cần có đam mê khám phá và tinh thần học hỏi. Tuy nhiên, hack vẫn là một hành động phạm tội và bạn sẽ không thành công với cách tiếp cận này. Mình thấy rất nhiều bạn Sky’s bị ảo tưởng bởi xem quá nhiều phim hacker nên quyết tâm theo đuổi con đường “nghiên cứu bảo mật” nhưng cuối cùng lại thất vọng và chán nản. Vì vậy, để thực hiện ước muốn trở thành hacker, hãy thử học một khóa lập trình để hiểu được độ mạnh của ước muốn của bạn đó.

READ  Hack Ngọc Rồng Online - Tải Ngọc Rồng Online Auto Click

Hack rất tốn thời gian và công sức

Có thể bạn đã xem trong một bộ phim, một hacker tay lướt trên bàn phím, trên màn hình hiển thị những dòng chữ trải dài trên cửa sổ đen. Chỉ một vài giây sau, một câu chữ xanh “Truy cập được cấp phép” được hiển thị. Hoặc có một nam diễn viên đẹp trai có thể hack hệ thống giao thông trong vài phút và đã chơi một vệ tinh.

Không giống như thế giới bên ngoài, không phải lúc nào cũng có một vệ tinh trên đầu bạn để hack. Việc này cần tốn thời gian và công sức hơn bạn nghĩ. Bạn phải theo dõi thu thập thông tin, xem từng request, phân tích các url, đọc từng đoạn code và viết code để thực hiện mục tiêu, có thể kéo dài tới cả ngày, tuần hoặc thậm chí lâu hơn. Việc hack cũng có thể không thành công vì cần thiết bị hỗ trợ ở gần mục tiêu. Nhất là những cái mệt mỏi lớn hơn bạn tưởng tượng.

Xem thêm video cùng chủ đề : Dăm ba cách HACK SẬP một trang web – Hack cùng Code Dạo

Mô tả video

Theo yêu cầu của nhiều anh em, hôm nay mình chia sẻ dăm ba cách để hack sập 1 trang web nhé. Nghiêm cấm đàn ông có thai và phụ nữa dưới 18 tuổi làm theo nha!nnMua cả tủ đồ Coolmate: https://bit.ly/347yx64nNhập mã

✅ Mọi người cũng xem : protein là gì

Làm thế nào để hack một website?

Khi đến với chủ đề chính, chúng ta sẽ cùng khám phá ra cách một trang web bị hack như thế nào. Tuy nhiên, đây chỉ là dưới góc độ cá nhân và không phải các bước mà một hacker chuyên nghiệp sẽ làm. Mục đích chính là để các bạn đọc có thể tìm hiểu thêm và cho vui.

READ  Cách hack máy kéo bò | Mẹo chơi game bắt bò trong siêu thị

✅ Mọi người cũng xem : switch là gì

Thu thập thông tin

Khi đã có ý đồ “đen tối” với một website cụ thể, người ta cần phải kiểm tra thông tin server để biết website này được viết bằng ngôn ngữ nào, dữ liệu được gửi nhận ra thế nào, cơ sở dữ liệu lưu trữ ở đâu, giao thức liên lạc như thế nào, mã hóa bằng cách nào, có sử dụng dịch vụ hosting của ai hay sử dụng VPS – Server riêng, server đang chạy trên hệ điều hành gì và phiên bản nào. Người ta cũng cần kiểm tra file robots.txt để xem họ có giấu giếm điều gì không. Cuối cùng, cũng có thể sử dụng Google để tìm kiếm xem có lỗi gì mà Google vô tình thu thập được hay không.

Kiểm tra xem họ đang sử dụng mã nguồn mở nào (ví dụ như WordPress, Joomla, Drupal…). Hỏi xem họ có dùng HTTPS không? Xem có dùng theme hoặc plugin nào phụ thêm không? Cũng như thu thập thông tin về tên miền của nhà cung cấp, người sở hữu tên miền, các sub-domain … để có những thông tin càng đầy đủ hơn.

Tìm kiếm bug đã tồn tại trên mã nguồn, hệ điều hành của website

Sau khi thu thập được các thông tin cần thiết, bạn sẽ bắt đầu tìm kiếm trên Google các tấn công còn tồn tại đã được công bố. Ứng dụng của họ sử dụng Centos 6.4, Wordpress 4.3 và các theme và plugin khác, hãy kiểm tra các phiên bản này có lỗ hổng nào không, và nếu có, thì phương pháp tấn công của họ là gì?

Đa số các mã nguồn mở được biết đến rất ít lỗi và được cộng đồng vá rất nhanh sau khi chính thức được công bố. Tuy nhiên, những trang web thông thường thường không phải là những trang web cập nhật bản vá của những mã nguồn này. Ngoài ra, những trang này còn sử dụng nhiều theme, plugin, addon chưa được kiểm định chặt chẽ, do đó khả năng xuất hiện lỗi cao. Nhưng một khi lỗi đã được phát hiện thì khả năng sửa lỗi lại khá dễ dàng.

✅ Mọi người cũng xem : cách trị bạn trai mê game

Local attack

Sử dụng thông tin server đã được lấy được ở bước 1, bạn bắt đầu check những website có trên cùng server đó để xem có thể “làm ăn” được điều gì không. Nếu may mắn hack được một trang trên cùng server, có thể up shell để thay đổi website mục tiêu, những diễn đàn hacking, UG cũng có một đội ngũ chuyên up shell cho các thành viên, bạn có thể vào để yêu cầu link shell 🙂

Một server chia sẻ có thể làm cho việc lưu trữ hàng trăm web trên cùng một server dễ dàng hơn so với việc làm local và cũng có thể dễ dàng mua một gói host nhỏ sẽ nằm trên cùng một server với mục đích thực hiện.

Tìm kiếm những lỗ hổng từ website

Nếu source code của website được viết bởi bạn và không sử dụng mã nguồn mở, và các bước trên không hiệu quả, bạn cần kiểm tra các lỗi, những sơ hở mà lập trình viên không ý thức đã tạo ra. Điều này yêu cầu có kinh nghiệm và có thể mất nhiều thời gian. Để bắt đầu, bạn nên check xem website hoạt động như thế nào, kiểm tra các file javascript, ajax request… xem trình duyệt gửi nhận thông tin gì, nếu thay đổi dữ liệu input thì sẽ xảy ra những chuyện gì. Dễ dàng nhất là check theo danh sách các lỗi bảo mật web đã được công bố bởi OWASP.

READ  22 Cách Ép Cấp Gunny Hay Nhất

Vẫn có những con đường khác

Thực tế, có những cách khác để tấn công website. Tùy thuộc vào hiểu biết của bạn về website đó, bạn có thể ứng biến phù hợp. Một website thường không đứng độc lập, nó có thể tương tác với các hệ thống ngoài như thanh toán, API dữ liệu cho ứng dụng mobile… và những sơ hở khác. Tôi đã từng thử nghiệm hack bằng cách dịch ngược file apk của hệ thống, đọc code, gửi mail đính kèm malware, lợi dụng sơ hở của hệ thống DNS… Hoặc có một cách hack khác rất phổ biến, đó là social engineering, là sử dụng các yếu tố con người như chat, gọi điện hoặc gửi email lừa lọc. Nó có hiệu quả cao khi kết hợp với các phương pháp kỹ thuật trên.

Kết luận

Cần có tư duy lập trình tốt và sáng tạo để trở thành một hacker, người phải tìm hiểu về bảo mật thông tin, các cách lừa đảo và các thủ thuật để sử dụng. Điều này sẽ giúp lập trình viên lập trình tốt hơn. Bạn cũng nên tạo thói quen “đa nghi” và từ đó xem để xây dựng một ứng dụng an toàn và được bảo vệ tốt nhất.