Questa guida condividerà le tecniche di hacking del sito Web più comuni per aiutarti a prepararti per attacchi dannosi.
La natura redditizia di Internet ha portato ad un aumento significativo del numero di tecniche di hacking sito web.
I criminali informatici utilizzano molti strumenti e tecniche diverse per accedere alle informazioni sensibili che si trovano online. Spesso attaccano siti Web e risorse di rete nel tentativo di estorcere denaro o rubare beni dalle organizzazioni.
Per proteggere te stesso e la tua attività contro i criminali informatici, è importante essere consapevoli di come funzionano le tecniche di hacking del sito web.
Attacchi SQL Injection
Attacco SQL Injection è la tecnica di hacking sito web più comune. La maggior parte dei siti web utilizza SQL (Structured Query Language) per interagire con i database.
SQL consente al sito web di creare, recuperare, aggiornare ed eliminare i record del database. Viene utilizzato per tutto, dalla registrazione di un utente nel sito Web alla memorizzazione dei dettagli di una transazione di e-commerce.
Un attacco SQL injection inserisce SQL in un modulo Web nel tentativo di ottenere l’applicazione per eseguirlo. Ad esempio, invece di digitare testo normale in un campo nome utente o password, un hacker può digitare ' OR 1=1.
Se l’applicazione aggiunge questa stringa direttamente a un comando SQL progettato per verificare se un utente esiste nel database, restituirà sempre true.
Ciò può consentire a un hacker di accedere a una sezione ristretta di un sito web. Altri attacchi SQL injection possono essere utilizzati per eliminare i dati dal database o inserire nuovi dati.
Gli hacker a volte utilizzano strumenti automatizzati per eseguire iniezioni SQL su siti Web remoti. Analizzeranno migliaia di siti Web, testando molti tipi di attacchi di iniezione fino a quando non avranno successo.
Gli attacchi SQL injection possono essere prevenuti filtrando correttamente l’input dell’utente. La maggior parte dei linguaggi di programmazione ha funzioni speciali per gestire in modo sicuro l’input dell’utente che verrà utilizzato in una query SQL.
Che cos’è il cross-site scripting (XSS)?
Cross-site scripting è una vulnerabilità importante che viene spesso sfruttata dagli hacker per l’hacking di siti web. È una delle vulnerabilità più difficili da affrontare a causa del modo in cui funziona.
Alcuni dei più grandi siti web al mondo hanno affrontato attacchi XSS di successo tra cui Microsoft e Google.
La maggior parte degli attacchi di hacking del sito Web XSS utilizza script Javascript dannosi incorporati nei collegamenti ipertestuali. Quando l’utente fa clic sul link, potrebbe rubare informazioni personali, dirottare una sessione web, prendere in consegna un account utente, o modificare gli annunci che vengono visualizzati su una pagina.
Gli hacker spesso inseriscono questi link dannosi in forum web, siti Web di social media e altre posizioni importanti in cui gli utenti li cliccano.
Per evitare attacchi XSS, i proprietari di siti web devono filtrare l’input dell’utente per rimuovere qualsiasi codice dannoso.
Che cos’è il denial of service (DoS / DDoS)?
Un attacco denial of service inonda un sito Web con una quantità enorme di traffico Internet, causando i suoi server a diventare sopraffatti e crash.
La maggior parte degli attacchi DDoS vengono effettuati utilizzando computer che sono stati compromessi con malware. I proprietari di computer infetti potrebbero anche non essere consapevoli del fatto che la loro macchina sta inviando richieste di dati al tuo sito web.
Gli attacchi Denial of service possono essere prevenuti da:
- Tasso di limitare il router del server web.
- Aggiunta di filtri al router per eliminare pacchetti da fonti dubbie.
- Eliminazione di pacchetti falsificati o malformati.
- Impostazione di timeout più aggressivi sulle connessioni.
- Utilizzo di firewall con protezione DDoS.
- Utilizzo di software di mitigazione DDoS di terze parti di Akamai, Cloudflare, VeriSign, Arbor Networks o di un altro provider.
Che cos’è il cross-site request forgery (CSRF o XSRF)?
Cross-site request forgery è un comune exploit dannoso dei siti web. Si verifica quando i comandi non autorizzati vengono trasmessi da un utente che un’applicazione Web si fida.
L’utente è solitamente connesso al sito Web, quindi ha un livello più alto di privilegi, consentendo all’hacker di trasferire fondi, ottenere informazioni sull’account o accedere a informazioni sensibili.
Ci sono molti modi per gli hacker di trasmettere comandi contraffatti tra cui moduli nascosti, AJAX, e tag immagine. L’utente non è consapevole che il comando è stato inviato e il sito web ritiene che il comando provenga da un utente autenticato.
La differenza principale tra un attacco XSS e CSRF è che l’utente deve essere loggato e attendibile da un sito Web per un attacco di hacking del sito web CSRF per funzionare.
I proprietari di siti Web possono prevenire attacchi CSRF controllando le intestazioni HTTP per verificare da dove proviene la richiesta e controllare i token CSRF nei moduli Web. Questi controlli assicureranno che la richiesta provenga da una pagina all’interno dell’applicazione Web e non da un’origine esterna.
Che cos’è lo spoofing DNS (DNS cache poisoning)?
Questa tecnica di hacking del sito web inietta i dati corrotti del sistema di dominio nella cache di un resolver DNS per reindirizzare dove viene inviato il traffico di un sito web. Viene spesso utilizzato per inviare traffico da siti Web legittimi a siti Web dannosi che contengono malware.
DNS spoofing può anche essere utilizzato per raccogliere informazioni sul traffico deviato. La migliore tecnica per prevenire lo spoofing DNS è impostare tempi TTL brevi e cancellare regolarmente le cache DNS delle macchine locali.
Tecniche di ingegneria sociale
In alcuni casi, la più grande debolezza nel sistema di sicurezza di un sito web sono le persone che lo utilizzano. L’ingegneria sociale cerca di sfruttare questa debolezza.
Un hacker convincerà un utente o un amministratore del sito web a divulgare alcune informazioni utili che li aiutano a sfruttare il sito web. Ci sono molte forme di attacchi di ingegneria sociale, tra cui:
Phishing
Agli utenti di un sito web vengono inviate e-mail fraudolente che sembrano provenire dal sito web. All’utente viene chiesto di divulgare alcune informazioni, come i propri dati di accesso o informazioni personali. L’hacker può utilizzare queste informazioni per compromettere il sito web.
Adescamento
Questa è una tecnica classica di ingegneria sociale che è stata utilizzata per la prima volta negli 1970. Un hacker lascerà un dispositivo vicino al tuo posto di lavoro, forse contrassegnato con un’etichetta come “stipendi dei dipendenti”.
Uno dei tuoi dipendenti potrebbe prenderlo e inserirlo nel proprio computer per curiosità. La chiavetta USB conterrà malware che infetta le reti di computer e compromette il tuo sito web.
Pretexting
Un hacker contatterà te, uno dei tuoi clienti o un dipendente e fingerà di essere qualcun altro. Richiederanno informazioni sensibili, che usano per compromettere il tuo sito web.
Il modo migliore per eliminare gli attacchi di ingegneria sociale è quello di educare i dipendenti e clienti su questo tipo di attacchi.
Tecniche di hacking del sito Web non mirate
In molti casi, gli hacker non mirano specificamente al tuo sito web. Quindi che tipo di tecniche di hacking del sito web stanno usando allora?
Di solito prendono di mira una vulnerabilità esistente per un sistema di gestione dei contenuti, un plugin o un modello.
Ad esempio, potrebbero aver sviluppato alcune tecniche di hacking di siti Web che mirano a una vulnerabilità in una particolare versione di WordPress, Joomla o un altro sistema di gestione dei contenuti.
Useranno bot automatici per trovare siti web che utilizzano questa versione del sistema di gestione dei contenuti in questione prima di lanciare un attacco. Potrebbero utilizzare la vulnerabilità per eliminare i dati dal tuo sito web, rubare informazioni sensibili o inserire software dannoso sul tuo server.
Il modo migliore per evitare attacchi di hacking sito web è quello di garantire il sistema di gestione dei contenuti, plugin, e modelli sono tutti up-to-date.