Come hackerare un sito

diSalvatore Aranzulla

Uno degli argomenti pi gettonati nei messaggi che ricevo tutti i giorni lhacking. Entrando pi in dettaglio, molte persone vorrebbero impararecome hackerare un sitoma, come facilmente potrai immaginare, non posso fornire informazioni troppo dettagliate su un tema cos delicato e complesso.

Alla luce di ci, ho dunque deciso di realizzare un articolo nel quale elencher alcune delle tecniche pi usate dagli hacker per bucare i siti Internet. Non ci sono procedure passo passo che possono essere usate dai malintenzionati per violare i siti altrui, ma leggendolo anche tu potrai farti unidea su come glihackersvolgono il proprio lavoro e quindi su come proteggerti, se gestisci un sito Web. Buona lettura!

Cominciamo questo excursus sucome hackerare un sitoparlando dellSQL, un linguaggio di interrogazione dei database usato da moltissimi siti Internet ed applicazioni Web. Alcuni siti, usano una versione non aggiornata dei database SQL soggette ad una vulnerabilit denominataSQL injectionattraverso la quale possibile bucare il database ed arrivare facilmente ai dati di accesso dellamministratore.

Per scoprire se il sito da hackerare ha un database vulnerabile, occorre innanzitutto che questultimo abbia una struttura dindirizzo del tipohttp://www.sito.com/pagina?id=numero(es.http://www.sitodahackerare.com/news/detail.php?id=201), quindi bisogna collegarsi ad esso e cercare dei link con queste caratteristiche. Una volta individuato lindirizzo giusto, occorre aggiungere unapice prima del numero di ID (es.http://www.sitodahackerare.com/news/detail.php?id=201) e premere il tastoInviodella tastiera sul PC. Se viene restituito il messaggio di erroreYou have an error in your SQL syntax, si ha a che fare con un sito bucabile.

In seguito si risale al numero di tabelle contenute nel database, aggiungendo la stringaorder by 1,order by 2,order by 3ecc. allindirizzo del sito (fino a che non esce un messaggio di errore), si uniscono le sue tabelle e si risale alla versione del database SQL con unaltra stringa da aggiungere allURL del sito. Una volta rilevata la versione del database in uso, diventa un gioco da ragazzi visualizzare le tabelle da cui formato questultimo ed estrapolare i dati di accesso dellamministratore del sito, che sono conservati nella sezionePrivileges.

Quella che ti ho appena illustrato una delle tecniche pi usate perhackerare un sitoPHP basato su database SQL ma esistono anche altre tecniche di hacking che vengono usate dai malintenzionati per prendere possesso dei siti altrui.

Ad esempio, sui sitiASPvulnerabili possibile ottenere i privilegi di amministratore semplicemente inserendo delle stringhe di codice allinterno del form per il login, cos come per i siti inJPortalpotrebbe bastare laggiunta di una linea di codice alla fine dellindirizzo nella barra del browser per riuscire a compiere un hackeraggio. Pi sicuri, invece, sono i siti inHTMLanche se possono essere bucati da hacker esperti sfruttando delle falle di sicurezza nellFTP o delle vulnerabilit di tipo XSS.

Per le azioni dimostrative nei confronti di istituzioni o siti di importanti aziende, viene spesso adottato anche lattaccoDDoS. Acronimo di Distributed Denial of Service, questo tipo di hackeraggio consiste nel sovraccaricare i server di un sito con una quantit abnorme di richieste di accesso (esercitate da migliaia di computer distribuiti in tutto il mondo) in modo da farlo crollare e renderlo irraggiungibile per ore o giorni interi. Insomma, nessun sito pu dirsi davvero al sicuro quando si parla di attacchi hacker ma se si mantiene aggiornata la struttura su cui si basano, i rischi diminuiscono notevolmente.