Як знайти адмінку сайту


 

При створенні та адмініструванні сайту однією з головних проблем стає забезпечення його безпеки. Для перевірки надійності ресурсу він повинен бути вивчений на присутність вразливостей, при цьому тестування зазвичай проводиться тими ж методами і утилітами, якими користуються хакери.



Інструкція

  1. Для того щоб увійти на сайт з правами адміністратора, хакеру може знадобитися відповідна форма авторизації. Знайшовши її, він може спробувати підібрати пароль, використовуючи брутфорсер — програми, що перебирають паролі за словником. Можливо, хакер вже вивудив цікавлять його дані (логін і пароль) з бази даних, використовуючи виявлену sql-уразливість. Щоб заволодіти сайтом, йому достатньо ввести в форму авторизації вкрадені дані. Відповідно, чим важче знайти адмінку, тим вища безпека сайту.
  2. Ви можете перевірити безпеку свого ресурсу, використовуючи спеціальні утиліти. Наприклад, скористайтеся програмою Admin Finder, її ви легко знайдете в мережі. Досить ввести в неї адресу сайту, і програма видасть шляху всіх сторінок, пов’язаних з адмініструванням. Врахуйте, що деякі антивіруси можуть визначати програму як небажаний софт і блокувати її роботу. Щоб гарантовано уникнути присутності в утиліті троянської програми, шукайте Admin Finder саме на хакерських ресурсах. На своїх сайтах і форумах хакери не будуть викладати заражені утиліти.
  3. Досить часто хакери перевіряють файл robots.txt, в якому адміністратори перераховують заборонені для індексування пошуковими роботами файли. У цьому файлі цілком можуть знаходитися і необхідні зловмисникові дані.
  4. Для перегляду структури сайту можна скористатися спеціальними сканерами. Наприклад, хороші результати показує невелика консольна утиліта SiteScaner. Запустіть її, введіть адресу свого сайту. Подивіться в виведеному списку, чи вказані сторінки, які ви хотіли б приховати.
  5. Існують мережеві сервіси, досить докладно показують структуру сайту. Наприклад, цей: http://defec.ru/scaner/ ( http://defec.ru/scaner/ ) Введіть в пошукове поле адресу свого сайту, вставте код безпеки та натисніть кнопку SCAN . У списку, ви побачите структуру вашого інтернет-ресурсу.
  6. При пошуку адмінки хакер може просто перебрати найпоширеніші варіанти. Наприклад, такі: / admin, / login, index / admin.php, admin.php, login.php, admin / index.php, admincp / index.php. Настроюючи сайт, намагайтеся уникати відомих назв директорій і файлів. Це стосується і баз даних — хакерських утиліт відомо більше півтисячі їх поширених назв.
  7. Перевірте свій ресурс на стійкість до злому за допомогою програми XSpider. Це цілком легальний софт, його демоверсію ви можете скачати з сайту виробника. Програма призначена для системних адміністраторів і дозволяє отримати звіт про можливі шляхи проникнення на інтернет-ресурс.
  8. Досить часто адміністратори не виставляють права на перегляд директорій, що дозволяє хакерові практично вільно подорожувати по каталогам сайту. Захистити папку від перегляду можна дуже простим способом: вставте в неї сторінку index.html c текстом, повідомляють про те, що даний каталог закритий для перегляду. При спробі зазирнути в каталог буде автоматично відкриватися саме ця сторінка.

Зверніть увагу

Використання згаданих у статті програм і мережевих сервісів допустимо тільки для перевірки безпеки власних інтернет-ресурсів. Незаконне проникнення на чужі сайти є кримінально караним злочином.