Comment pirater un site web ? Autres exemples de piratage en ligne
Comment hacker un site web ? Le nombre de personnes ayant accĂšs Ă l’internet est plus Ă©levĂ© que jamais.
Ce qui a conduit de nombreuses organisations Ă dĂ©velopper des applications basĂ©es sur le web que les utilisateurs peuvent utiliser en ligne pour interagir avec l’organisation.
Un code mal Ă©crit pour les applications web peut ĂȘtre exploitĂ© pour obtenir un accĂšs non autorisĂ© Ă des donnĂ©es sensibles et Ă des serveurs web.
Dans ce tutoriel, vous apprendrez Ă pirater des sites Web. Nous vous prĂ©senterons les techniques de piratage d’applications Web et les contre-mesures que vous pouvez mettre en place pour vous protĂ©ger contre ces attaques.
Qu’est-ce qu’une application web ? Quelles sont les menaces web ?
Comment hacker un site web ? Une application web (également connue sous le nom de site web) est une application basée sur le modÚle client-serveur.
Le serveur fournit l’accĂšs Ă la base de donnĂ©es et Ă la logique d’entreprise. Il est hĂ©bergĂ© sur un serveur web. L’application client s’exĂ©cute dans le navigateur web du client.
Les applications Web sont généralement écrites dans des langages tels que Java, C# et VB.Net, PHP, ColdFusion Markup Language, etc.
Les moteurs de base de données utilisés dans les applications web comprennent MySQL, MS SQL Server, PostgreSQL, SQLite, etc.
La plupart des applications web sont hĂ©bergĂ©es sur des serveurs publics accessibles via l’internet. Cela les rend vulnĂ©rables aux attaques en raison de leur facilitĂ© d’accĂšs.
Voici des menaces courantes pour les applications web.
Injection SQL :
Comment hacker un site web ? l’objectif de cette menace pourrait ĂȘtre de contourner les algorithmes de connexion, de saboter les donnĂ©es, etc.
Attaques par déni de service :
Comment hacker un site web ? l’objectif de cette menace pourrait ĂȘtre d’empĂȘcher les utilisateurs lĂ©gitimes d’accĂ©der Ă la ressource.
Cross Site Scripting XSS :
Comment hacker un site web ? l’objectif de cette menace pourrait ĂȘtre d’injecter du code qui peut ĂȘtre exĂ©cutĂ© dans le navigateur cĂŽtĂ© client.
Empoisonnement de cookie/session :
Comment hacker un site web ? l’objectif de cette menace est de modifier les cookies/donnĂ©es de session par un attaquant pour obtenir un accĂšs non autorisĂ©.
Manipulation de formulaires :
Comment hacker un site web ? l’objectif de cette menace est de modifier les donnĂ©es de formulaires, comme les prix dans les applications de commerce Ă©lectronique, afin que l’attaquant puisse obtenir des articles Ă des prix rĂ©duits.
Injection de code :
Comment hacker un site web ? L’objectif de cette menace est d’injecter du code tel que PHP, Python, etc. qui peut ĂȘtre exĂ©cutĂ© sur le serveur.
Le code peut installer des portes dérobées, révéler des informations sensibles, etc.
Défiguration :
Comment hacker un site web ? l’objectif de cette menace est de modifier la page affichĂ©e sur un site Web et de rediriger toutes les demandes de pages vers une page unique contenant le message de l’attaquant.
Comment protéger votre site web contre les piratages ?
Comment hacker un site web ? Une organisation peut adopter la politique suivante pour se protéger contre les attaques sur les serveurs web.
Injection SQL :
Comment hacker un site web ? l’assainissement et la validation des paramĂštres utilisateur avant leur envoi Ă la base de donnĂ©es pour traitement peuvent contribuer Ă rĂ©duire les risques d’attaque par injection SQL.
Les moteurs de base de données tels que MS SQL Server, MySQL, etc. prennent en charge les paramÚtres et les instructions préparés. Elles sont beaucoup plus sûres que les instructions SQL traditionnelles
Attaques par déni de service :
Comment hacker un site web ? les pare-feu peuvent ĂȘtre utilisĂ©s pour Ă©liminer le trafic provenant d’adresses IP suspectes s’il s’agit d’une simple attaque par dĂ©ni de service.
Une configuration adĂ©quate des rĂ©seaux et du systĂšme de dĂ©tection des intrusions peut Ă©galement contribuer Ă rĂ©duire les chances de rĂ©ussite d’une attaque DoS.
Cross Site Scripting : la validation et l’assainissement des en-tĂȘtes, des paramĂštres transmis par l’URL, des paramĂštres de formulaire et des valeurs cachĂ©es peuvent contribuer Ă rĂ©duire les attaques XSS.
Empoisonnement des cookies/de la session : on peut l’Ă©viter en cryptant le contenu des cookies, en faisant expirer les cookies aprĂšs un certain temps, en associant les cookies Ă l’adresse IP du client qui a Ă©tĂ© utilisĂ© pour les crĂ©er.
TempĂȘte de formulaires : on peut l’Ă©viter en validant et en vĂ©rifiant les entrĂ©es de l’utilisateur avant de les traiter.
Injection de code :
Comment hacker un site web ? On peut l’Ă©viter en traitant tous les paramĂštres comme des donnĂ©es et non comme du code exĂ©cutable. L’assainissement et la validation peuvent ĂȘtre utilisĂ©s Ă cette fin.
Dégradation :
Comment hacker un site web ? une bonne politique de sĂ©curitĂ© en matiĂšre de dĂ©veloppement d’applications web doit garantir qu’elle scelle les vulnĂ©rabilitĂ©s couramment utilisĂ©es pour accĂ©der au serveur web.
Il peut s’agir d’une configuration adĂ©quate du systĂšme d’exploitation, du logiciel du serveur web et des meilleures pratiques de sĂ©curitĂ© lors du dĂ©veloppement d’applications web.
Des astuces de piratage de sites web : Piratage d’un site web en ligne
Comment hacker un site web ? Dans ce scĂ©nario pratique de piratage de site web, nous allons dĂ©tourner la session de l’utilisateur de l’application web situĂ©e Ă www.techpanda.org.
Nous utiliserons le cross-site scripting pour lire l’ID de session du cookie et l’utiliser ensuite pour usurper l’identitĂ© d’une session d’utilisateur lĂ©gitime.
L’hypothĂšse est que l’attaquant a accĂšs Ă l’application web et qu’il souhaite dĂ©tourner les donnĂ©es de l’application.
Le code ci-dessus utilise JavaScript. Il ajoute un lien hypertexte avec un événement onclick.
Lorsque l’utilisateur peu mĂ©fiant clique sur le lien, l’Ă©vĂ©nement rĂ©cupĂšre l’ID de session dans le cookie PHP et l’envoie Ă la page snatch_sess_id.php avec l’ID de session dans l’URL.
Entrez les détails restants, par exemple, comme suit : Nom de famille : Mode mobile : numéro à 11 chiffres Email : msengerc_s493d@hrepy.com
Cliquez sur Enregistrer les modifications.
Le panneau de contrĂŽle ressemble maintenant Ă l’Ă©cran suivant.
Comme le code de script intersite est stockĂ© dans la base de donnĂ©es, il sera chargĂ© chaque fois que les utilisateurs disposant de droits d’accĂšs se connecteront.
Supposons que l’administrateur se connecte et clique sur l’hyperlien indiquant Dark.
Il/elle obtiendra la fenĂȘtre avec l’ID de session indiquĂ© dans l’URL.
Remarque : le script peut envoyer la valeur Ă un serveur distant oĂč le PHPSESSID est stockĂ©, puis l’utilisateur est redirigĂ© vers le site Web comme si de rien n’Ă©tait.
Remarque :
Comment hacker un site web ? La valeur que vous obtenez peut ĂȘtre diffĂ©rente de ce tutoriel de piratage, mais le concept est le mĂȘme.
Usurpation de session avec Firefox et le module complémentaire Tamper Data
L’organigramme ci-dessous montre les Ă©tapes que vous devez suivre pour rĂ©aliser cet exercice.
Vous aurez besoin du navigateur web Firefox pour cette section et du module complémentaire Tamper Data.
Ouvrez Firefox et installez le module complémentaire Tamper Data.
Cliquez sur le menu Outils, puis sĂ©lectionnez DonnĂ©es d’altĂ©ration comme indiquĂ© ci-dessous.
Vous obtiendrez une fenĂȘtre.
Remarque : Si Windows n’est pas vide, appuyez sur le bouton Effacer.
Cliquez sur le menu “Start Tamper”.
Retournez dans le navigateur web Firefox, tapez http://www.techpanda.org/dashboard.php puis appuyez sur la touche Entrée pour charger la page.
Vous obtiendrez une nouvelle fenĂȘtre qui comporte trois (3) options. L’option Tamper vous permet de modifier les informations de l’en-tĂȘte HTTP avant de les envoyer au serveur.
Cliquez dessus.
Copiez l’ID de session php que vous avez copiĂ© de l’URL d’attaque et collez-le aprĂšs le signe Ă©gal. Votre valeur devrait maintenant ressembler Ă ceci. PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2
Cliquez sur le bouton OK.
La fenĂȘtre pop-up des donnĂ©es de falsification rĂ©apparaĂźt.
Décochez la case qui demande Continuer la falsification ?
Cliquez sur le bouton d’envoi lorsque vous avez terminĂ©.
*Note : * : Nous ne nous sommes pas connectés, nous avons usurpé une session de connexion en utilisant la valeur PHPSESSID que nous avons récupérée via un scripting intersite.
Résumé
Comment hacker un site web ? Une application web est basée sur le modÚle serveur-client. Le cÎté client utilise le navigateur web pour accéder aux ressources du serveur.
Les applications Web sont gĂ©nĂ©ralement accessibles via l’Internet. Cela les rend vulnĂ©rables aux attaques.
Les menaces pesant sur les applications Web comprennent l’injection SQL, l’injection de code, le XSS, le dĂ©figement, l’empoisonnement des cookies, etc.
Une bonne politique de sĂ©curitĂ© lors du dĂ©veloppement d’applications web peut contribuer Ă en assurer la sĂ©curitĂ©.