Các bug , vulnerability ... đã được công bố trên toàn cầu nhưng chưa chắc site đã patch . Hãy thử những bug mới nhất của công nghệ đang dùng của site đó .
Admin không phải lúc nào cũng cẩn thận , đôi khi họ sai lầm . Và tôi đúc kết những điều sau :
CHMOD : nhiều khi file config của forum không được CHMOD và dẫn đến dễ dàng xem được nó . Thông thường đối với 1 số site bảo mật kém thì password của MYSQL thường trùng với pass của FTP Account . Ta dễ dàng deface .
TROJAN , KEYLOGGER : 1 công cụ khá đơn giản nhưng hiệu nghiệm , nếu admin sơ xuất disable NAV thì thứ này sẽ giúp ta có những info đặc biệt quan trọng về máy chủ .
Password default : Thứ dễ dàng này đôi khi rất hiệu nghiệm . Admin mới setup xong server . Và sơ ý chưa change password default hoặc biết nhưng không đổi là điều kiện cho bạn attack hay deface .
ANON FTP : Bài này bác KHA hướng dẫn khá cụ thể . Tôi xin nói vấn tắt . 1 số server cho đăng nhập FTP nặc danh . Tức là user " khách " . 1 số site cho phép user guest hay anon này upload hay download . Hãy tận dụng .
Tôi đã điểm qua sơ lược 1 vài kinh nghiệm của tôi . Hy vọng các bạn sẽ áp dụng được trong thực tế và sáng tạo những cách hay hơn ...
0 nhận xét:
Đăng nhận xét