Come hackerare un sito

come hackerare un sito

Ti stai chiedendo come hackerare un sito? Vuoi sapere come violare quel sito web che tanto ti sta antipatico(come quello di scuola) oppure vuoi provare le tecniche di hacking contro il tuo server web per capire se riesci a bucarlo e testarne la sicurezza?

Da non perdere: Hackerare da zero

Devi sapere che ci sono molti modi su come hackerare un sito web, questo perchè un sito web è formato da un database sql e linguaggi di programmazione come php, asp, asp.net(aspx) e altri linguaggi di programmazione server side, in realtà anche gli script client side come javascript possono essere sfruttati per questa attività.

Quindi ci sono tanti modi per bucare un sito web al fine di renderlo indisponibile, ottenere l’accesso come amministratore o super utente, o per modificarne semplicemente le pagine web.

Prima di hackerare un sito

Non ti incoraggiamo a violare siti web di altre persone o di sistemi di cui non sei autorizzato, ci dissociamo da questo tipo di attività, per fare le prove puoi tranquillamente usare una macchina virtuale con cui esercitarti e installare i vari servizi.

Da non perdere: Hackerare da zero

Cosa significa hackerare un sito

Hackerare un sito significa sfruttare delle tecniche di hacking per violare il sistema e avere l’accesso completo all’host target, grazie a questa operazione puoi compromettere attraverso internet le pagine web del sito vittima o ricavare delle informazioni importanti. Di questa situazione siamo abituati dopo le operazioni di hackeraggio dei siti web da parte del gruppo hacker Anonymous che si muove sul filone etico politico.

Da non perdere: Hackerare da zero

Hackerare un sito in modo anonimo

Prima di iniziare ad hackerare un sito, ti consiglio di diventare anonimo, anche per il solo scopo di analizzare la sicurezza informatica del server che stai testando, in questo modo vedrai sei nei log del server vedrai il tuo indirizzo ip o meno.

Per diventare anonimo su internet hai varie strategie, puoi usare tor proxy e browser per usare una vpn criptata a cui sarà difficile risalire a te, altrimenti puoi usare un server proxy o delle shel unix/linux che vengono fornite in rete.

Il tuo obiettivo è quello di non farti individuare facilmente, un altra tecnica è quella di trovare una rete wifi o lan non protetta a cui puoi agganciarti e quindi apparirà l’indirizzo ip di quella struttura all’interno dei server target.

Da non perdere: Hackerare da zero

Analisi di un sito

Prima di utilizzare le tecniche di violazione del sito web, è importante effettuare un’analisi dell’host remoto, l’analisi aiuterà a capire quali sono i servizi che sono in esecuzione.

Da non perdere: Hackerare da zero

Trova i servizi in esecuzione

Una delle prime fasi è quindi usare strumenti come nmap per capire i servizi che sono in esecuzione all’interno del computer remoto che sta eseguono il sito. Potrai scoprire servizi in esecuzione come ftp, sql, apache, rdp e tanti altri servizi noti su internet. Capire i servizi in esecuzione non è l’unico modo di fare analisi, dovrai anche capire se hanno eseguito gli ultimi aggiornamenti, cosa indispensabile nel mondo della sicurezza informatica, gli hacker lo sanno bene.

Verifica se il sito è in WordPress

Come hackerare un sito WordPress

WordPress è il cms più diffuso su internet, copre ormai la maggior parte dei siti web, blog ed e-commerce in circolazione sulla rete, esso è formato da svariati plugin e temi che se non aggiornati possono presentare delle vulnerabilità.

Analizzando il codice sorgente di WordPress, potrai vedere quali plugin e quale tema è installato, attraverso delle ricerche su internet, puoi vedere se per certi plugin esistono delle vulnerabilità o meno che possono essere sfruttate.

Dal codice sorgente della pagina WordPress, vedrai nell’intestazione(head) il suffisso wp all’interno degli url, questo significa che il sito web è in WordPress, inoltre potrai vedere la versione di WordPress installato.

Cerca directory e file importanti

Un altra tecnica di attacco si tratta di capire se sono pubblici dei file e directory importanti all’interno delle sottodirectory del sito web, per questo di usa OWasp, un software che si trova sotto Kali Linux ma che può essere installato anche su Ubuntu, Debian e altre distribuzioni Linux. OWasp ha una funzione si occupa di effettuare l’enumerazione delle directory alla ricerca dei file importanti.

Analizza il codice sorgente

Altra caratteristica importante è lo studio del codice sorgente delle pagine web, infatti all’interno dei commenti delle pagine html o dei codici in javascript, vengono inserite delle informazioni importanti, in alcuni casi sono inserite delle password di accesso o altre informazioni relative alla configurazione del sito web.

Controlla i motori di ricerca

Un altro metodo consiste nel sfruttare Google stesso alla ricerca di informazioni all’interno del suo indice, alcune pagine infatti potrebbero non essere state nascoste per essere cerca all’interno del motore di ricerca.

Metodi per hackerare un sito

Un sito è ospitato all’interno di un server web e segue un tipo di comunicazione che si chiama client/server che segue il modello TCP/IP completo o parziale definito dal modello ISO/OSI.

Per bucare un sito web ti puoi avvalere di tecniche come l’sql injection che serve ad avere accesso alle informazioni all’interno del database, dos che rende indisponibile un servizio da parte dei client, oppure puoi effettuare degli attacchi XSS che possono modificare i codici di programmazione javascript o html di una pagina.

Da non perdere: Hackerare da zero

Trovare la password

Come ti dicevo, puoi provare a trovare la password controllando se sul server web sono presenti dei file che contengono questo tipo di informazioni o se puoi trovarle all’interno del codice sorgente di una pagina.

Un altro metodo per trovare la password è quella di usare dei programmi che eseguono il brute force a dizionario o con una combinazione alfanumerica, questo tipo di attacco è rischioso in quanto un software IDS(intrusion detection) può rilevare l’attività e bannare il tuo ip, inoltre il server memorizza i vari tentativi di accesso nella maggior parte dei casi.

Negare un servizio

Nel mondo degli hacker una delle tecniche più usate è quella di un attacco dos, denial of service, questo tipo di attacco impedisce al sito vittima di rispondere alle richieste di altri utenti(client) che vedranno sui loro browser web la scritta “il server web non risponde”.

Questo attacco veniva lanciato da software come LOIC, spesso era usato da più persone che si mettevano d’accordo e lanciavano l’attacco nello stesso istante, in questo modo riuscivano a rendere indisponibile un servizio(ssh, ftp, server web, mysql etc…). Quando questo attacco avviene da più persone si chiama DDOS, ovvero distributed denial of service.

Bucare il database

Se vedi che MySql, MSSQL o altri database sono in esecuzione all’interno del server, puoi tentare bucare il sito puoi usando dei software che tentano un attacco di forza bruta. Questo tipo di approccio non sarà molto semplice, la maggior parte dei server web fornirti da hosting provider come aruba, dominiofaidate, shellrent etc…. non permettono collegamenti esterni diretti, ma solamente attraverso il codice server side per il rendering delle pagine web.

Se non puoi tentare un attacco di forza bruta sul database del sito web, allora puoi sfruttare le vulnerabilità delle pagine web come asp, asp.net, php o altri script server side, come? queste pagine hanno delle variabili nell’url del tipo http://miosito.com/pagina.asp?variabile=1, http://miosito.com/pagina.aspx?variabile=prodotti, queste variabili sono usate per interrogare un database, potrai caricare delle istruzioni sql come l’apice per vedere se alcuni comandi sono filtrati o meno dal codice asp, php etc…. nel caso in cui non lo fossero, puoi inserire delle istruzioni sql che ti consentirebbero di ricavare diverse informazioni, tra cui potresti trovare la password amministratore e potresti modificare il sito web.

Le pagine web che puoi sfruttare per un attacco Sql Injection, devono essere pagine web che si interfacciano con MySql, un esempio tipico è la pagina di login oppure una pagina che richiama delle informazioni da una ricerca o selezione dei dati. La pagina web deve cambiare inserendo una variabile in fondo all’url.

Bucare un sito tramite script client

Tra le varie tecniche su come bucare un sito, esiste anche la XSS(cross site scripting), ovvero si tratta di modificare il codice sorgente javascript o html di una pagina al fine di modificare il normale comportamento di risposta di un server web che in realtà si aspetterebbe una funzione per cui è stato programmato.

Con la tecnica XSS sono stati inseriti dei codici JavaScript all’interno del sito web, che alla richiesta di una pagina web eseguiva il codice malevolo che gli era stato inviato in precedenza dall’hacker che aveva sfruttato tale tecnica. Questo è uno dei metodi per entrare in un sito e modificarlo.

I plugin di WordPress in passato sono stati vulnerabili a questo tipo di attacco, questo perchè i plugin di wordpress sono una combinazione di codice server side e codice client side come javascript.

hackerare un sito con Kali Linux

Dopo che hai letto i metodi principali su come hackerare un sito, devo dirti che tra gli strumenti open source messi a disposizione nel mondo della sicurezza informatica e dell’hacking per hacker e cracker, puoi usare Kali Linux, una delle migliori distribuzioni Linux che racchiude tutti i programmi per hacker più completi e validi per eseguire un analisi forense e di penetration testing.

Da non perdere: Hackerare da zero

Quindi scarica Kali Linux, un ISO di 3,6GB che puoi installarla su una macchina virtuale oppure su un computer, le due soluzioni sono valide e offrono ottime prestazioni, nel caso di macchina virtuale dovrai avere un computer ben equipaggiato con almeno un processore x86(raro) o x64 dual core e 4gb di ram di cui dovrai dedicare 1gb a Kali Linux. Da Bios dovrai abilitare l’opzione per le macchine virtuali che consente una comunicazione diretta tra il programma che esegue la macchina virtuale con il processore e la memoria ram.

Dopo che hai installato Kali Linux, eseguilo e accedi all’ambiente grafico che ti consente di accedere a tutti i programmi di cui hai bisogno per hackerare un sito, i programmi migliori sono OWasp,

Conclusione

In questo articolo ti ho mostrato come hackerare un sito, i metodi che ti sono stati mostrati sono quelli generici e più usati nel mondo dell’hacking, ovviamente l’uso di certe tecniche richiede delle conoscenze che dovrai acquisire nel tempo.

Per fare un riassunto, dovrai:

  • Renderti anonimo.
  • Eseguire delle analisi del sistema obiettivo.
  • Cercare le vulnerabilità.
  • Tentare l’accesso.
  • Nascondere le tracce.

Queste fasi le trovi anche nella home page dove ti spiego come hackerare.

Da non perdere: Hackerare da zero