L’hacking etico e le applicazioni web
Cari lettori di Tecnogalaxy, in questo articolo spiegheremo che cos’è l’hacking etico, cos’è un applicazione web, e andremo a vedere alcuni attacchi possibili se un’applicazione non adotta le misure di sicurezza adeguate.
Cos’è l’hacking etico
L’hacking etico racchiude tutte quelle procedure che farebbe un malintenzionato con la differenza che chi effettua l’attacco è autorizzato a fare questi attacchi.
Un attacco etico comporta le stesse strategie e azioni di aggressori che farebbe un malintenzionati.
Questa pratica porta a scoprire le vulnerabilità di sicurezza prima che un malintenzionato abbia l’opportunità di sfruttarle.
Il lavoro proattivo che svolge un hacking etico, aiuta a migliorare la posizione di sicurezza di un’organizzazione. Ovviamente con l’approvazione dell’organizzazione o del proprietario dell’asset IT la missione dell’hacking etico è opposta all’hacking malevolo.
Cos’è un applicazione web
Un’applicazione Web (conosciuta come sito Web), è un’applicazione basata sul modello client-server.
Il server che ospita il sito, fornisce l’accesso al database e al sito che lo gestisce.
L’applicazione client viene eseguita sul browser Web client. Generalmente queste applicazioni sono scritte in linguaggi come Java, C# e VB.Net, PHP, ColdFusion Markup Language, ecc.
I database utilizzati di solito sono fatti in MySQL, MS SQL Server, PostgreSQL, SQLite, ecc.
Queste applicazioni Web essendo ospitate su server pubblici accessibili via Internet, posso essere vulnerabili agli attacchi se non progettate in modo corretto.
Tipi di attacchi ad applicazioni web
Di seguito riporto alcune comuni minacce e i relativi tipi di attacchi:
- Sql injection: Un malintenzionato che sfrutta questa falla, potrebbe portare al dump dell’intero database;
- Denial of service: L’obiettivo di questo attacco portato da un malintenzionato potrebbe essere quello di negare l’accesso a tutti gli utenti;
- Cross Site Scripting XSS: L’obiettivo è quello di iniettare del codice malevolo che possa essere eseguito sul browser lato client;
- Avvelenamento da cookie / sessioni: L’obiettivo è quello di modificare i cookie / i dati di sessione di un utente, in questo caso il malintenzionato potrebbe ottenere un accesso non autorizzato;
- Manomissione del modulo: Modifica dei dati del modulo, ad esempio un malintenzionato potrebbe modificare i prezzi nelle applicazioni di e-commerce, in modo da ottenere articoli a prezzi ridotti;
- DoS e DDoS: DoS (Denial of Service) e DDoS (Distributed Denial of Service) sono attacchi usati per sovraccaricare un sistema e impedirgli di soddisfare le richieste fatte dagli utenti. Gli attacchi DoS vengono effettuati da un’unica sorgente. Quelli DDoS invece implementano un attacco multiplo da più sorgenti (perciò più potenti rispetto al primo). Un attacco di questo tipo porta un sito web a non rispondere più agli utenti in quanto “troppo impegnato” ad elaborare o rispondere alle richieste generate dall’attacco, lo scopo di questi attacchi è quello di impedire le regolari funzioni di un sistema o comunque degradarne le prestazioni. Oltre al danno di immagine per il proprietario del sito web, impedire ad un sito e-commerce ad esempio, di vendere perché il sito non è più raggiungibile, comporta un mancato introito e una possibile perdita di clienti;
- Web Spoofing: La tecnica Web Spoofing consiste nel sostituire il vero sito web con una copia fasulla, (un clone) inducendo in errore gli utenti così catturare le password, i dati personali o di pagamento. Il malintenzionato cercherà di “fare pressione” sull’utente cercando di sfruttarne la distrazione o l’ingenuità attraverso messaggi di phishing contenente link al sito clonato (Ne abbiamo parlato in alcuni articoli). I siti colpiti da questa tecnica sono i siti delle banche, hosting provider, social network, comunque siti con un grande numero di utenti registrati. Di solito un malintenzionato invia dei messaggi che tendono a sfruttare alcuni comportamenti degli utenti, come le debolezze umane o la paura di perdere l’accesso a qualcosa:
- Un account di posta;
- Un conto corrente;
- Un dominio;
Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.
Al prossimo articolo.
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Giorgio Perego
IT Manager
Leggi anche:
- Cos’è il SubReddit r\Place
- L’IA sta cambiando il nostro mondo
- Il Phishing Wireless
- Consigli per far crescere l’eCommerce attraverso le strategie digitali
- Meta ha creato uno strumento che permette di analizzare le foto
Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!
Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.
Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.
© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.