Лекция: Xaкuнг браузеров Web
Злонамеренный код HTML
Злонамеренные аплеты и сценарии
Безопасные для сценариев элементы ActiveX
Файлы куки
Перекрестные сценарии
Подмена Web-сайтов
Хакинг SSL
Методы социальной инженерии
Заключение
Дo сих пор, расписывая деяния хакеров в виртуальном компьютерном мире, мы ограничивались автономным компьютером, предполагая, что у хакера имеется локальный доступ к консоли компьютерной системы. Однако, как вы сами понимаете, огромный виртуальный мир Интернета никак не может быть оставлен без внимания хакеров, поскольку в этом мире имеется очень много полезных ресурсов и личностей, готовых с ними расстаться, причем безвозмездно.
Более того, именно после возникновения в середине 90-х годов прошлого столетия общедоступной сети Интернет, хакинг приобрел настоящую силу и мощь. Путешествуя по серверам Интернета, хакер может с помощью своего компьютера проникать во все уголки этого пространства, преследуя при этом свои цели. В наших уроках мы займемся обсуждением этих возможностей, а сейчас сделаем несколько замечаний, уточняющих терминологию, используемую далее при описании средств хакинга в Интернете.
Итак, Интернет представляет собой объединение множества сетей, состоящих из серверов и клиентов, взаимодействующих согласно стеку протоколов TCP/IP.
Клиенты — это прикладные программы, предназначенные для установления соединения с компьютерами сети с целью получения нужной информации.
Серверы — это прикладные программы, которые предназначены для установления связи с клиентами, получения от клиентов запросов и отправки ответов. Обычно серверы функционируют на мощных компьютерах, соединенных друг с другом магистральными линиями связи с большой пропускной способностью.
Клиенты функционируют, как правило, на сравнительно менее мощных компьютерах, подсоединенных к серверам с помощью значительно менее быстродействующих линий связи (например, телефонных линий).
Серверы управляют доступом к информационным ресурсам Интернета, руководствуясь запросами клиентов. Этими ресурсами может быть любой объект, содержащий информацию, например, файл базы данных, документ Word и т.д., или любая служба, позволяющая, например, звонить по телефону или выполнять финансовые операции через Интернет.
Основные ресурсы Интернета содержатся в сети WWW (World Wide Web — Всемирная паутина), или просто Web (Паутина). Сеть Web — это одно из прикладных применений сети Интернет, хотя очень многие люди считают термины Интернет и Web синонимами. Однако это не так — если возникновение сети Интернет можно отнести к 1961 году, то сеть Web возникла в 1992 году и ее развитие связано с появлением гипертекстовых информационных систем.
Гипертекстовые информационные системы отличаются тем, что позволяют обращаться к хранимому в них гипертексту в произвольном порядке, определяемом гиперссылками. Именно так и организована сеть Web — множество страничек Web представляет собой гипертекст, содержащий множество гиперссылок на информационные ресурсы, хранимые на серверах сети Web.
Сеть Web функционирует с опорой на следующие технические средства.
• Единую систему наименований ресурсов Web, делающую возможным их поиск по серверам Web и основанную на так называемых адресах URL(Uniform Resource Locator — Унифицированный указатель информационного ресурса), определяемых протоколом доступа к серверам Web.
• Протокол организации сетевого доступа к именованным сетевым ресурсам, в качестве которого в Web выступает протокол HTTP (Hyper Text Transfer Protocol — Протокол передачи гипертекстовых файлов).
• Гипертекст, облегчающий навигацию по ресурсам Web, для создания которых используется язык HTML (Hyper Text Markup Language — Язык разметки гипертекста).
Все указанные средства Web интересны для хакеров прежде всего тем, что недостатки системы защиты серверов и клиентов, обслуживающих функционирование Web, позволяют им выполнять некоторые весьма интересные трюки, результатом которых может быть что угодно — потеря денег на счетах, утрата работоспособности компьютера, раскрытие конфиденциальности разного рода документов — в первых уроках мы привели несколько сообщений из Web о последних «достижениях» в этой области.
Рассмотрим некоторые из приемов хакинга в Web и начнем, естественно, с основы основ сети Web — языка HTML и клиентов Web, называемых браузерами (от английского слова browser, дословно означающего «человек, перелистывающий книги» или «животное, объедающее побеги»), которые отображают пользователям Web содержимое Web-страниц.