Introduction

Si vous vous êtes déjà demandé comment un pirate informatique pirate réellement des choses, vous êtes au bon endroit. En utilisant ce site Web, vous pourrez accéder à un ordinateur virtuel et relever 2 défis de piratage où vous pourrez utiliser les outils et techniques utilisés par de vrais pirates pour attaquer de vrais sites Web. C'est vrai : vous piraterez pour de vrai et, espérons-le, vous comprendrez à quel point il est facile de tirer parti de mauvaises pratiques de cybersécurité.

Il va sans dire que rien de ce que vous apprendrez ici ne devrait jamais être utilisé dans la vie réelle contre une cible que vous n'êtes pas autorisé à attaquer.

Obtenir les notes du certificat OSCP

Boîte à outils d’ingénierie sociale

SET est une application textuelle qui peut être utilisée pour lancer une variété de cyberattaques, depuis l'usurpation de site Web susmentionnée, les attaques Wifi, le spear phishing et bien plus encore. Comprendre comment les cyberattaques sont organisées peut les rendre beaucoup plus faciles à repérer avant de tomber dans le piège et nous espérons que les exercices suivants donneront un aperçu de la cybersécurité du point de vue d'un pirate informatique.

Piratage WordPress

WordPress est un système de gestion de contenu facile à utiliser (CMS) qui a été utilisé pour créer un grand nombre de sites Web dans le monde entier. Malheureusement, il peut être relativement facile de le pirater s’il est obsolète ou mal configuré.

Il y a trois éléments principaux qui peuvent conduire à la compromission d’un site WordPress :

Erreur humaine: Il existe un dicton courant dans les cercles de hackers : « Le maillon le plus faible est le maillon humain ». C'est très souvent le cas. Par exemple, si un administrateur de site dispose d’un mot de passe faible, le site peut facilement être compromis. Cela inclut les éléments qui respectent les exigences en matière de mot de passe mais qui sont faciles à deviner, comme le nom de leur enfant suivi de sa date de naissance ; bien que le mot de passe soit techniquement difficile à déchiffrer, les informations personnelles identifiables facilitent la génération d'une liste de mots de passe personnalisée pour attaquer le site.
De la même manière, les humains sont souvent vulnérables aux attaques d’ingénierie sociale. Un pirate informatique charismatique qui téléphone peut être en mesure d'obtenir des informations d'identification pour accéder à un site sans trop de difficultés si le personnel n'est pas conscient des dangers.
Vulnérabilités dans WordPress : Les vulnérabilités du logiciel principal de WordPress sont rares, mais elles sont souvent très dangereuses. Si le site n’a pas été mis à jour depuis un certain temps, les chances de trouver une vulnérabilité dans le logiciel principal sont élevées.
Plugins WordPress : L’une des choses qui rendent WordPress si facile à utiliser est le système basé sur des plugins utilisé par le logiciel. Les plugins peuvent être utilisés pour ajouter de nombreuses fonctionnalités au cœur de WordPress – des formulaires de courrier électronique aux boutiques en ligne, en passant par de simples galeries de photos. Le problème avec les plugins est qu’ils augmentent considérablement la surface d’attaque dont dispose un attaquant. Le logiciel principal de WordPress est très connu et est donc fréquemment ciblé par les chasseurs de bugs éthiques ; ce qui signifie que les vulnérabilités sont rapidement détectées et corrigées. Les plugins, en revanche, ne sont généralement pas aussi bien audités – d’autant plus qu’il en existe des millions. En tant que tel, il est courant de trouver des vulnérabilités dans les plugins (surtout les moins courants) ; dont certains peuvent être très graves.
Comme pour le logiciel principal de WordPress, les plugins obsolètes sont beaucoup plus susceptibles d’être vulnérables.

En fin de compte, un attaquant n’a généralement besoin que d’une seule erreur pour pouvoir s’accrocher au site. Un attaquant disposant d’un accès administratif à un site Web WordPress peut provoquer le chaos. Dans le pire des cas, ils peuvent utiliser l'accès pour accéder au serveur (et à tout ce qui y est hébergé) ; c'est généralement une tâche très facile avec la configuration par défaut de WordPress, car les fonctionnalités du système se prêtent bien à l'exécution de code arbitraire. Un attaquant pourrait également utiliser son accès pour dégrader le site, héberger des fichiers malveillants sur le serveur ou effectuer un large éventail d’autres actions peu recommandables – limitées uniquement par son imagination.

Vidéo pas à pas

Rédactions du FCT, Ingénierie sociale, essayez-moi, WordPress

Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles

Ingénierie sociale avec SET | THM Cyber Ecosse

Autres histoires

Injection SQL avec SQLmap et élévation de privilèges de la bibliothèque Python | Bibliothèque TryHackMe

Comprendre le reniflage et l'homme du milieu | TryHackMe L2 MAC Flooding et usurpation d'ARP

Appuyez sur ESC pour fermer