search trên google thì mình cũng đã phần nào nắm đc các con đường thâm nhập website phổ biến. tuy nhiên trong những con đường đó thì con đường nào là khả thi nhất (khó đề phòng nhất ngoại trừ ddos) ? 

thanks bác! tiện đây có bác nào có thể liệt kê các phương pháp thâm nhập 1 website kèm theo kiến thức cần có của mỗi phương pháp đó ko? Như vậy mình có thể dựa vào các kiến thức kèm theo để chọn ra 1 phương pháp thâm nhập "tủ" cho bản thân. chứ để có khả năng sử dụng hết các pp đó thì e ra ...
cám ơn nhiều! 

http://www.xssed.com

 http://www.xssing.com

http://en.wikipedia.org/wiki/Session_hijacking

Ngoài ra bạn có thể tự tìm cho mình những bug 0-day như anti-sec, nhưng nó yêu cầu khả năng tư duy và trình độ rất cao. 

cám ơn bác conmale nhiều nhé!
em nghĩ thật ko dễ để bảo mật toàn diện cho 1 trong những lỗi trên, bởi vậy em sẽ dựa vào những gì bác cho biết để tìm cho mình 1 pp thâm nhập phù hợp với khả năng của em ^^! 

em mún xâm nhập mấy anh pro chỉ giúp
MÀ ANH ADMIN SAO ANH LẠI LOCK NICK EM NICK EM LÀ LENHAN555 ĐÓ SAO LOCK VẬY TRỜI 

constructor_87 wrote:

cám ơn bác conmale nhiều nhé!
em nghĩ thật ko dễ để bảo mật toàn diện cho 1 trong những lỗi trên, bởi vậy em sẽ dựa vào những gì bác cho biết để tìm cho mình 1 pp thâm nhập phù hợp với khả năng của em ^^! 

Vậy bồ muốn "thâm nhập" hay "bảo mật" vậy? 

conmale wrote:

constructor_87 wrote:

cám ơn bác conmale nhiều nhé!
em nghĩ thật ko dễ để bảo mật toàn diện cho 1 trong những lỗi trên, bởi vậy em sẽ dựa vào những gì bác cho biết để tìm cho mình 1 pp thâm nhập phù hợp với khả năng của em ^^! 

Vậy bồ muốn "thâm nhập" hay "bảo mật" vậy? 

theo em thì em tìm hiểu cách thâm nhập trước sau đó là bảo mật. bởi bảo mật mà ko biết người ta thâm nhập bằng cách nào thì chẳng khác "mò kim đáy bể" . em xem kiên thức thâm nhập là định hướng cho bảo mật  

theo em thì em tìm hiểu cách thâm nhập trước sau đó là bảo mật. bởi bảo mật mà ko biết người ta thâm nhập bằng cách nào thì chẳng khác "mò kim đáy bể" . em xem kiên thức thâm nhập là định hướng cho bảo mật  

constructor_87 wrote:

conmale wrote:

constructor_87 wrote:

cám ơn bác conmale nhiều nhé!
em nghĩ thật ko dễ để bảo mật toàn diện cho 1 trong những lỗi trên, bởi vậy em sẽ dựa vào những gì bác cho biết để tìm cho mình 1 pp thâm nhập phù hợp với khả năng của em ^^! 

Vậy bồ muốn "thâm nhập" hay "bảo mật" vậy? 

theo em thì em tìm hiểu cách thâm nhập trước sau đó là bảo mật. bởi bảo mật mà ko biết người ta thâm nhập bằng cách nào thì chẳng khác "mò kim đáy bể" . em xem kiên thức thâm nhập là định hướng cho bảo mật  

Đọc loạt bài "trò chuyện với cuti" chưa? Nếu chưa thì nên đọc để có vài thông tin về chuyện "hack để bảo mật"  

em mới chỉ tìm hiểu về thâm nhập chứ chưa dám hack đâu bác conmale ạ
gậy ông đập lưng ông nhé  

constructor_87 wrote:

thanks bác! tiện đây có bác nào có thể liệt kê các phương pháp thâm nhập 1 website kèm theo kiến thức cần có của mỗi phương pháp đó ko? Như vậy mình có thể dựa vào các kiến thức kèm theo để chọn ra 1 phương pháp thâm nhập "tủ" cho bản thân. chứ để có khả năng sử dụng hết các pp đó thì e ra ...
cám ơn nhiều! 

về phương diện kĩ thuật:trước hết bác phải hiểu website là gì,cách tạo ra nó,các thuật ngữ đi kèm với nó,vd như website tĩnh,website động,tên miền,host....Nhưng quan trọng nhất khi muốn thâm nhập 1 website nào đó ít nhất bác phải biết website đó được "viết bởi" ngôn ngữ lập trình web gì(asp,php,java,html),tìm hiểu điểm yếu của các ngôn ngữ lập trình đó,từ đó "lợi dụng" các lỗi đó để thâm nhập

---SQL Injection: kỹ thuật chèn thêm lệnh vào câu truy vấn để tấn công hệ thống cơ sở dữ liệu.,thích hợp cho những người nào thông thạo về SQL và hệ thông cơ sở dữ liệu,đặc biệt phương pháp này cần chút kiên trì khi truy vẫn cơ sở dữ liệu

---Cross Site Scripting(XSS): kỹ thuật chèn thêm mã javascript hoặc vbscript vào trang website để đánh cắp thông tin cá nhân của người sử dụng,thường dùng để Phishing hoặc để social engineering,cần thông thạo javascript hoặc vbscript,các trang web chuyên giới thiệu về lỗi này:

Code:

http://www.xssed.com

 http://www.xssing.com

---Session Hijacking: kỹ thuật đánh cắp phiên làm việc để chiếm quyền điều khiển tài khoản của người sử dụng.

Code:

http://en.wikipedia.org/wiki/Session_hijacking

---File Inclusion Attacks:cần biết về Lập trình PHP,Cơ bản về Apache,Cơ bản về Linux ,Về cơ bản có hai kiểu khai thác là inclde file từ máy chủ khác (RFI – Remote file include), include file từ chính máy chủ lỗi (LFI – Local file include).Mục đích của kẻ tấn công là chạy được các hàm hệ thống và thu thập các thông tin nhạy cảm của hệ thống. Tất cả công việc trên kẻ tấn công có thể đạt được khi chạy được web shell (hay còn gọi là web hack tool) như c99shell, r57shell, …,lỗi này được tấn dụng để tấn công "local hack",kiểu tấn công rất phổ biến của các "script kiddies" việt nam

---nếu bác là 1 ngườii biết cách lừa đảo thì hay nhất vẫn là social engineering,ở việt nam có huyremy và thế giới là kevin mitnick ,2 người tuy không giỏi lắm về IT,nhưng nhờ sử dụng khá tốt phương pháp social engineering,nên họ đã trở nên "rất nổi tiếng"

và còn rất nhiều phương pháp khác nữa...,vd:dùng tr0jan,virus để thu thập user name và password của người quản trị 

hacker cũng tốt mà cracker cũng hay.
Nếu được học em học cả 2 nhưng thiên về cracker hơn vì tỉ lệ tử vong ít
Bác nào chuyên về cracker có thể nhận em làm đệ tử được ko ạh thánk. 

ko có cách nào chỉ từ A>>Z để thực hành luôn ah, học xong hết thì lâu wa'
mà bây giờ đang có hứng, đang cần gấp để thử cảm giác xem thế nào