Questo sito contribuisce alla audience di Il Messaggero
Amazon Black Friday 2017
Scopri le migliori offerte della settimana dell'Amazon Black Friday 2017. Vedi le offerte Amazon

Come hackerare un sito

di

Uno degli argomenti più gettonati nei messaggi che ricevo tutti i giorni è l’hacking. Entrando più in dettaglio, molte persone vorrebbero imparare come hackerare un sito ma, come facilmente potrai immaginare, non posso fornire informazioni troppo dettagliate su un tema così delicato e complesso.

Alla luce di ciò, ho dunque deciso di realizzare un articolo nel quale elencherò alcune delle tecniche più usate dagli hacker per “bucare” i siti Internet. Non ci sono procedure passo passo che possono essere usate dai malintenzionati per violare i siti altrui, ma leggendolo anche tu potrai farti un’idea su come gli hacker svolgono il proprio “lavoro” e quindi su come proteggerti, se gestisci un sito Web. Buona lettura!

Cominciamo questo excursus su come hackerare un sito parlando dell’SQL, un linguaggio di interrogazione dei database usato da moltissimi siti Internet ed applicazioni Web. Alcuni siti, usano una versione non aggiornata dei database SQL soggette ad una vulnerabilità denominata SQL injection attraverso la quale è possibile “bucare” il database ed arrivare facilmente ai dati di accesso dell’amministratore.

Per scoprire se il sito da hackerare ha un database vulnerabile, occorre innanzitutto che quest’ultimo abbia una struttura d’indirizzo del tipo http://www.sito.com/pagina?id=numero (es. http://www.sitodahackerare.com/news/detail.php?id=201), quindi bisogna collegarsi ad esso e cercare dei link con queste caratteristiche. Una volta individuato l’indirizzo giusto, occorre aggiungere un’apice prima del numero di ID (es. http://www.sitodahackerare.com/news/detail.php?id=’201) e premere il tasto Invio della tastiera sul PC. Se viene restituito il messaggio di errore You have an error in your SQL syntax, si ha a che fare con un sito “bucabile”.

In seguito si risale al numero di tabelle contenute nel database, aggiungendo la stringa order by 1–, order by 2–, order by 3– ecc. all’indirizzo del sito (fino a che non esce un messaggio di errore), si uniscono le sue tabelle e si risale alla versione del database SQL con un’altra stringa da aggiungere all’URL del sito. Una volta rilevata la versione del database in uso, diventa un gioco da ragazzi visualizzare le tabelle da cui è formato quest’ultimo ed estrapolare i dati di accesso dell’amministratore del sito, che sono conservati nella sezione Privileges.

Quella che ti ho appena illustrato è una delle tecniche più usate per hackerare un sito PHP basato su database SQL ma esistono anche altre tecniche di hacking che vengono usate dai malintenzionati per prendere possesso dei siti altrui.

Ad esempio, sui siti ASP vulnerabili è possibile ottenere i privilegi di amministratore semplicemente inserendo delle stringhe di codice all’interno del form per il login, così come per i siti in JPortal potrebbe bastare l’aggiunta di una linea di codice alla fine dell’indirizzo nella barra del browser per riuscire a compiere un hackeraggio. Più sicuri, invece, sono i siti in HTML anche se possono essere “bucati” da hacker esperti sfruttando delle falle di sicurezza nell’FTP o delle vulnerabilità di tipo XSS.

Per le azioni dimostrative nei confronti di istituzioni o siti di importanti aziende, viene spesso adottato anche l’attacco DDoS. Acronimo di Distributed Denial of Service, questo tipo di hackeraggio consiste nel sovraccaricare i server di un sito con una quantità abnorme di richieste di accesso (esercitate da migliaia di computer distribuiti in tutto il mondo) in modo da farlo “crollare” e renderlo irraggiungibile per ore o giorni interi. Insomma, nessun sito può dirsi davvero al sicuro quando si parla di attacchi hacker ma se si mantiene aggiornata la struttura su cui si basano, i rischi diminuiscono notevolmente.