Come hackerare un sito

di Salvatore Aranzulla

Uno degli argomenti pi gettonati nei messaggi che ricevo tutti i giorni lhacking. Entrando pi in
dettaglio, molte persone vorrebbero imparare come hackerare un sito ma, come facilmente potrai
immaginare, non posso fornire informazioni troppo dettagliate su un tema cos delicato e
complesso.
Alla luce di ci, ho dunque deciso di realizzare un articolo nel quale elencher alcune delle tecniche
pi usate dagli hacker per bucare i siti Internet. Non ci sono procedure passo passo che possono
essere usate dai malintenzionati per violare i siti altrui, ma leggendolo anche tu potrai farti unidea
su come gli hacker svolgono il proprio lavoro e quindi su come proteggerti, se gestisci un sito
Web. Buona lettura!
Cominciamo questo excursus su come hackerare un sito parlando dellSQL, un linguaggio di
interrogazione dei database usato da moltissimi siti Internet ed applicazioni Web. Alcuni siti, usano
una versione non aggiornata dei database SQL soggette ad una vulnerabilit denominata SQL
injection attraverso la quale possibile bucare il database ed arrivare facilmente ai dati di
accesso dellamministratore.
Per scoprire se il sito da hackerare ha un database vulnerabile, occorre innanzitutto che questultimo
abbia una struttura dindirizzo del tipohttp://www.sito.com/pagina?
id=numero (es.http://www.sitodahackerare.com/news/detail.php?id=201), quindi bisogna
collegarsi ad esso e cercare dei link con queste caratteristiche. Una volta individuato lindirizzo
giusto, occorre aggiungere unapice prima del numero di ID
(es. http://www.sitodahackerare.com/news/detail.php?id=201) e premere il tasto Invio della
tastiera sul PC. Se viene restituito il messaggio di errore You have an error in your SQL syntax, si
ha a che fare con un sito bucabile.
In seguito si risale al numero di tabelle contenute nel database, aggiungendo la stringa order by
1, order by 2, order by 3 ecc. allindirizzo del sito (fino a che non esce un messaggio di
errore), si uniscono le sue tabelle e si risale alla versione del database SQL con unaltra stringa da
aggiungere allURL del sito. Una volta rilevata la versione del database in uso, diventa un gioco da
ragazzi visualizzare le tabelle da cui formato questultimo ed estrapolare i dati di accesso
dellamministratore del sito, che sono conservati nella sezione Privileges.

Quella che ti ho appena illustrato una delle tecniche pi usate per hackerare un sito PHP basato
su database SQL ma esistono anche altre tecniche di hacking che vengono usate dai malintenzionati
per prendere possesso dei siti altrui.
Ad esempio, sui siti ASP vulnerabili possibile ottenere i privilegi di amministratore
semplicemente inserendo delle stringhe di codice allinterno del form per il login, cos come per i
siti in JPortal potrebbe bastare laggiunta di una linea di codice alla fine dellindirizzo nella barra
del browser per riuscire a compiere un hackeraggio. Pi sicuri, invece, sono i siti in HTML anche
se possono essere bucati da hacker esperti sfruttando delle falle di sicurezza nellFTP o delle
vulnerabilit di tipo XSS.
Per le azioni dimostrative nei confronti di istituzioni o siti di importanti aziende, viene spesso
adottato anche lattacco DDoS. Acronimo di Distributed Denial of Service, questo tipo di
hackeraggio consiste nel sovraccaricare i server di un sito con una quantit abnorme di richieste di
accesso (esercitate da migliaia di computer distribuiti in tutto il mondo) in modo da farlo crollare
e renderlo irraggiungibile per ore o giorni interi. Insomma, nessun sito pu dirsi davvero al sicuro
quando si parla di attacchi hacker ma se si mantiene aggiornata la struttura su cui si basano, i rischi
diminuiscono notevolmente.