Come Hackerare Un Sito
3
Come hackerare un sito di Salvatore Aranzulla Uno degli argomenti più gettonati nei messaggi che ricevo tutti i giorni è l’hacking. Entrando più in dettaglio, molte persone vorrebbero imparare come hackerare un sito ma, come facilmente potrai immaginare, non posso fornire informazioni troppo dettagliate su un tema così delicato e complesso. Alla luce di ciò, ho dunque deciso di realizzare un articolo nel quale elencherò alcune delle tecniche più usate dagli hacker per “bucare” i siti Internet. Non ci sono procedure passo passo che possono essere usate dai malintenzionati per violare i siti altrui, ma leggendolo anche tu potrai farti un’idea su come gli hacker svolgono il proprio “lavoro” e quindi su come proteggerti, se gestisci un sito Web. Buona lettura! Cominciamo questo excursus su come hackerare un sito parlando dell’SQL, un linguaggio di interrogazione dei database usato da moltissimi siti Internet ed applicazioni Web. Alcuni siti, usano una versione non aggiornata dei database SQL soggette ad una vulnerabilità denominata SQL injection attraverso la quale è possibile “bucare” il database ed arrivare facilmente ai dati di accesso dell’amministratore. Per scoprire se il sito da hackerare ha un database vulnerabile, occorre innanzitutto che quest’ultimo abbia una struttura d’indirizzo del tipohttp://www.sito.com/pagina? id=numero (es.http://www.sitodahackerare.com/news/detail.php? id=201), quindi bisogna collegarsi ad esso e cercare dei link con queste caratteristiche. Una volta individuato l’indirizzo giusto, occorre aggiungere un’apice prima del numero di ID (es. http://www.sitodahackerare.com/news/detail.php?id=’201) e premere il tasto Invio della tastiera sul PC. Se viene restituito il messaggio di errore You have an error in your SQL syntax, si ha a che fare con un sito “bucabile”. In seguito si risale al numero di tabelle contenute nel database, aggiungendo la stringa order by 1–, order by 2–, order by 3– ecc. all’indirizzo del sito (fino a che non esce un messaggio di errore), si uniscono le sue tabelle e si risale alla versione del database SQL con un’altra stringa da aggiungere all’URL del sito. Una volta rilevata la versione del database in uso, diventa un gioco da ragazzi visualizzare le tabelle da cui è formato
-
Upload
antoniozannini -
Category
Documents
-
view
1 -
download
0
description
a
Transcript of Come Hackerare Un Sito
Come hackerare un sito
diSalvatore Aranzulla
Uno degli argomenti pi gettonati nei messaggi che ricevo tutti i giorni lhacking. Entrando pi in dettaglio, molte persone vorrebbero impararecome hackerare un sitoma, come facilmente potrai immaginare, non posso fornire informazioni troppo dettagliate su un tema cos delicato e complesso.
Alla luce di ci, ho dunque deciso di realizzare un articolo nel quale elencher alcune delle tecniche pi usate dagli hacker per bucare i siti Internet. Non ci sono procedure passo passo che possono essere usate dai malintenzionati per violare i siti altrui, ma leggendolo anche tu potrai farti unidea su come glihackersvolgono il proprio lavoro e quindi su come proteggerti, se gestisci un sito Web. Buona lettura!
Cominciamo questo excursus sucome hackerare un sitoparlando dellSQL, un linguaggio di interrogazione dei database usato da moltissimi siti Internet ed applicazioni Web. Alcuni siti, usano una versione non aggiornata dei database SQL soggette ad una vulnerabilit denominataSQL injectionattraverso la quale possibile bucare il database ed arrivare facilmente ai dati di accesso dellamministratore.
Per scoprire se il sito da hackerare ha un database vulnerabile, occorre innanzitutto che questultimo abbia una struttura dindirizzo del tipohttp://www.sito.com/pagina?id=numero(es.http://www.sitodahackerare.com/news/detail.php?id=201), quindi bisogna collegarsi ad esso e cercare dei link con queste caratteristiche. Una volta individuato lindirizzo giusto, occorre aggiungere unapice prima del numero di ID (es.http://www.sitodahackerare.com/news/detail.php?id=201) e premere il tastoInviodella tastiera sul PC. Se viene restituito il messaggio di erroreYou have an error in your SQL syntax, si ha a che fare con un sito bucabile.
In seguito si risale al numero di tabelle contenute nel database, aggiungendo la stringaorder by 1,order by 2,order by 3ecc. allindirizzo del sito (fino a che non esce un messaggio di errore), si uniscono le sue tabelle e si risale alla versione del database SQL con unaltra stringa da aggiungere allURL del sito. Una volta rilevata la versione del database in uso, diventa un gioco da ragazzi visualizzare le tabelle da cui formato questultimo ed estrapolare i dati di accesso dellamministratore del sito, che sono conservati nella sezionePrivileges.
Quella che ti ho appena illustrato una delle tecniche pi usate perhackerare un sitoPHP basato su database SQL ma esistono anche altre tecniche di hacking che vengono usate dai malintenzionati per prendere possesso dei siti altrui.
Ad esempio, sui sitiASPvulnerabili possibile ottenere i privilegi di amministratore semplicemente inserendo delle stringhe di codice allinterno del form per il login, cos come per i siti inJPortalpotrebbe bastare laggiunta di una linea di codice alla fine dellindirizzo nella barra del browser per riuscire a compiere un hackeraggio. Pi sicuri, invece, sono i siti inHTMLanche se possono essere bucati da hacker esperti sfruttando delle falle di sicurezza nellFTP o delle vulnerabilit di tipo XSS.
Per le azioni dimostrative nei confronti di istituzioni o siti di importanti aziende, viene spesso adottato anche lattaccoDDoS. Acronimo di Distributed Denial of Service, questo tipo di hackeraggio consiste nel sovraccaricare i server di un sito con una quantit abnorme di richieste di accesso (esercitate da migliaia di computer distribuiti in tutto il mondo) in modo da farlo crollare e renderlo irraggiungibile per ore o giorni interi. Insomma, nessun sito pu dirsi davvero al sicuro quando si parla di attacchi hacker ma se si mantiene aggiornata la struttura su cui si basano, i rischi diminuiscono notevolmente.
