introduzione

Se ti sei mai chiesto come fa un hacker a hackerare effettivamente le cose, allora sei nel posto giusto. Usando questo sito web potrai accedere a un computer virtuale e completare 2 sfide di hacking in cui potrai utilizzare gli strumenti e le tecniche utilizzate dai veri hacker per attaccare siti web reali. Esatto: farai hacking sul serio e, si spera, avrai un'idea di quanto sia facile trarre vantaggio da cattive pratiche di sicurezza informatica.

Inutile dire che nulla di ciò che impari qui dovrebbe mai essere utilizzato nella vita reale contro un bersaglio che non sei autorizzato ad attaccare.

Ottieni le note sul certificato OSCP

Kit di strumenti di ingegneria sociale

SET è un'applicazione basata su testo che può essere utilizzata per lanciare una varietà di attacchi informatici, dal già citato spoofing di siti Web, attacchi Wi-Fi, spear phishing e molto altro ancora. Comprendere come vengono organizzati gli attacchi informatici può renderli molto più facili da individuare prima di cascarci e speriamo che i seguenti esercizi forniscano un'idea della sicurezza informatica dal punto di vista di un hacker.

Hacking di WordPress

WordPress è un sistema di gestione dei contenuti facile da usare (CMS) che è stato utilizzato per creare un vasto numero di siti Web in tutto il mondo. Sfortunatamente, può essere relativamente facile da hackerare se non è aggiornato o configurato in modo errato.

Ci sono tre cose principali che possono portare alla compromissione di un sito WordPress:

  • Errore umano: C'è un detto comune nei circoli degli hacker: - "L'anello più debole è l'anello umano". Questo è molto spesso il caso. Ad esempio, se l'amministratore del sito ha una password debole, il sito può essere facilmente compromesso. Ciò include elementi che rispettano i requisiti della password ma che sono facili da indovinare, come il nome del figlio seguito dalla data di nascita; nonostante la password sia tecnicamente difficile da decifrare, le informazioni di identificazione personale facilitano la generazione di un elenco di password personalizzate con cui attaccare il sito.
    Allo stesso modo, gli esseri umani sono spesso vulnerabili agli attacchi di ingegneria sociale. Un hacker carismatico telefonando in giro potrebbe riuscire a ottenere le credenziali per accedere a un sito senza eccessive difficoltà se il personale non è consapevole dei pericoli.
  • Vulnerabilità in WordPress: Le vulnerabilità nel software core di WordPress sono rare, ma spesso sono molto pericolose. Se il sito non viene aggiornato da un po' di tempo, la possibilità di trovare una vulnerabilità nel software principale è alta.
  • Plugin WordPress: Una delle cose che rende WordPress così facile da usare è il sistema basato su plugin utilizzato dal software. I plugin possono essere utilizzati per aggiungere molte funzionalità al core di WordPress: dai moduli e-mail, ai negozi online, alle semplici gallerie fotografiche. Il problema con i plugin è che aumentano notevolmente la superficie di attacco a disposizione di un utente malintenzionato. Il software principale di WordPress è molto noto e quindi viene spesso preso di mira dai cacciatori di taglie etici; il che significa che le vulnerabilità vengono rapidamente trovate e risolte. I plugin, d’altro canto, di solito non sono altrettanto ben controllati, soprattutto se ce ne sono milioni disponibili. Pertanto, è comune trovare vulnerabilità nei plugin (soprattutto meno comuni); alcuni dei quali possono essere davvero molto seri.
    Come con il software principale di WordPress, i plugin obsoleti hanno molte più probabilità di essere vulnerabili.

In definitiva, un utente malintenzionato di solito ha bisogno solo di una cosa sbagliata per riuscire a ottenere il suo hook nel sito. Un utente malintenzionato con accesso amministrativo a un sito Web WordPress può causare caos. Nel peggiore dei casi possono utilizzare l'accesso per ottenere l'accesso al server (e qualsiasi altra cosa ospitata su di esso); questo di solito è un compito molto semplice con la configurazione predefinita di WordPress poiché le funzionalità del sistema si prestano bene all'esecuzione di codice arbitrario. Un utente malintenzionato potrebbe anche utilizzare il proprio accesso per deturpare il sito, ospitare file dannosi sul server o eseguire una vasta gamma di altre azioni poco gradite, limitate solo dalla propria immaginazione.

Video walk-through

 

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli