Comment pirater un site web ? Autres exemples de piratage en ligne

Comment hacker un site web ? Le nombre de personnes ayant accès à l’internet est plus élevé que jamais.

Ce qui a conduit de nombreuses organisations à développer des applications basées sur le web que les utilisateurs peuvent utiliser en ligne pour interagir avec l’organisation.

Un code mal écrit pour les applications web peut être exploité pour obtenir un accès non autorisé à des données sensibles et à des serveurs web.

Comment hacker un site web ?

Dans ce tutoriel, vous apprendrez à pirater des sites Web. Nous vous présenterons les techniques de piratage d’applications Web et les contre-mesures que vous pouvez mettre en place pour vous protéger contre ces attaques.

Qu’est-ce qu’une application web ? Quelles sont les menaces web ?

Comment hacker un site web ? Une application web (également connue sous le nom de site web) est une application basée sur le modèle client-serveur.

Le serveur fournit l’accès à la base de données et à la logique d’entreprise. Il est hébergé sur un serveur web. L’application client s’exécute dans le navigateur web du client.

Les applications Web sont généralement écrites dans des langages tels que Java, C# et VB.Net, PHP, ColdFusion Markup Language, etc.

Les moteurs de base de données utilisés dans les applications web comprennent MySQL, MS SQL Server, PostgreSQL, SQLite, etc.

La plupart des applications web sont hébergées sur des serveurs publics accessibles via l’internet. Cela les rend vulnérables aux attaques en raison de leur facilité d’accès.

Voici des menaces courantes pour les applications web.

Injection SQL :

Comment hacker un site web ? l’objectif de cette menace pourrait être de contourner les algorithmes de connexion, de saboter les données, etc.

Attaques par déni de service :

Comment hacker un site web ?

Comment hacker un site web ? l’objectif de cette menace pourrait être d’empêcher les utilisateurs légitimes d’accéder à la ressource.

Cross Site Scripting XSS :

Comment hacker un site web ? l’objectif de cette menace pourrait être d’injecter du code qui peut être exécuté dans le navigateur côté client.

Empoisonnement de cookie/session :

Comment hacker un site web ? l’objectif de cette menace est de modifier les cookies/données de session par un attaquant pour obtenir un accès non autorisé.

Manipulation de formulaires :

Comment hacker un site web ? l’objectif de cette menace est de modifier les données de formulaires, comme les prix dans les applications de commerce électronique, afin que l’attaquant puisse obtenir des articles à des prix réduits.

Injection de code :

Comment hacker un site web ? L’objectif de cette menace est d’injecter du code tel que PHP, Python, etc. qui peut être exécuté sur le serveur.

Le code peut installer des portes dérobées, révéler des informations sensibles, etc.

Défiguration :

Comment hacker un site web ? l’objectif de cette menace est de modifier la page affichée sur un site Web et de rediriger toutes les demandes de pages vers une page unique contenant le message de l’attaquant.

Comment protéger votre site web contre les piratages ?

Comment hacker un site web ? Une organisation peut adopter la politique suivante pour se protéger contre les attaques sur les serveurs web.

Comment hacker un site web ?

Injection SQL :

Comment hacker un site web ? l’assainissement et la validation des paramètres utilisateur avant leur envoi à la base de données pour traitement peuvent contribuer à réduire les risques d’attaque par injection SQL.

Les moteurs de base de données tels que MS SQL Server, MySQL, etc. prennent en charge les paramètres et les instructions préparés. Elles sont beaucoup plus sûres que les instructions SQL traditionnelles

Attaques par déni de service :

Comment hacker un site web ? les pare-feu peuvent être utilisés pour éliminer le trafic provenant d’adresses IP suspectes s’il s’agit d’une simple attaque par déni de service.

Une configuration adéquate des réseaux et du système de détection des intrusions peut également contribuer à réduire les chances de réussite d’une attaque DoS.

Cross Site Scripting : la validation et l’assainissement des en-têtes, des paramètres transmis par l’URL, des paramètres de formulaire et des valeurs cachées peuvent contribuer à réduire les attaques XSS.

Empoisonnement des cookies/de la session : on peut l’éviter en cryptant le contenu des cookies, en faisant expirer les cookies après un certain temps, en associant les cookies à l’adresse IP du client qui a été utilisé pour les créer.

Tempête de formulaires : on peut l’éviter en validant et en vérifiant les entrées de l’utilisateur avant de les traiter.

Injection de code :

Comment hacker un site web ? On peut l’éviter en traitant tous les paramètres comme des données et non comme du code exécutable. L’assainissement et la validation peuvent être utilisés à cette fin.

Dégradation :

Comment hacker un site web ? une bonne politique de sécurité en matière de développement d’applications web doit garantir qu’elle scelle les vulnérabilités couramment utilisées pour accéder au serveur web.

Comment hacker un site web ?

Il peut s’agir d’une configuration adéquate du système d’exploitation, du logiciel du serveur web et des meilleures pratiques de sécurité lors du développement d’applications web.

Des astuces de piratage de sites web : Piratage d’un site web en ligne

Comment hacker un site web ? Dans ce scénario pratique de piratage de site web, nous allons détourner la session de l’utilisateur de l’application web située à www.techpanda.org.

Nous utiliserons le cross-site scripting pour lire l’ID de session du cookie et l’utiliser ensuite pour usurper l’identité d’une session d’utilisateur légitime.

L’hypothèse est que l’attaquant a accès à l’application web et qu’il souhaite détourner les données de l’application.

Le code ci-dessus utilise JavaScript. Il ajoute un lien hypertexte avec un événement onclick.

Lorsque l’utilisateur peu méfiant clique sur le lien, l’événement récupère l’ID de session dans le cookie PHP et l’envoie à la page snatch_sess_id.php avec l’ID de session dans l’URL.

Entrez les détails restants, par exemple, comme suit : Nom de famille : Mode mobile : numéro à 11 chiffres Email : msengerc_s493d@hrepy.com

Cliquez sur Enregistrer les modifications.
Le panneau de contrôle ressemble maintenant à l’écran suivant.

Comme le code de script intersite est stocké dans la base de données, il sera chargé chaque fois que les utilisateurs disposant de droits d’accès se connecteront.

Supposons que l’administrateur se connecte et clique sur l’hyperlien indiquant Dark.
Il/elle obtiendra la fenêtre avec l’ID de session indiqué dans l’URL.

Comment hacker un site web ?

Remarque : le script peut envoyer la valeur à un serveur distant où le PHPSESSID est stocké, puis l’utilisateur est redirigé vers le site Web comme si de rien n’était.

Remarque :

Comment hacker un site web ? La valeur que vous obtenez peut être différente de ce tutoriel de piratage, mais le concept est le même.

Usurpation de session avec Firefox et le module complémentaire Tamper Data
L’organigramme ci-dessous montre les étapes que vous devez suivre pour réaliser cet exercice.

Vous aurez besoin du navigateur web Firefox pour cette section et du module complémentaire Tamper Data.

Ouvrez Firefox et installez le module complémentaire Tamper Data.

Cliquez sur le menu Outils, puis sélectionnez Données d’altération comme indiqué ci-dessous.
Vous obtiendrez une fenêtre.

Remarque : Si Windows n’est pas vide, appuyez sur le bouton Effacer.
Cliquez sur le menu « Start Tamper ».

Retournez dans le navigateur web Firefox, tapez http://www.techpanda.org/dashboard.php puis appuyez sur la touche Entrée pour charger la page.

Vous obtiendrez une nouvelle fenêtre qui comporte trois (3) options. L’option Tamper vous permet de modifier les informations de l’en-tête HTTP avant de les envoyer au serveur.
Cliquez dessus.

Copiez l’ID de session php que vous avez copié de l’URL d’attaque et collez-le après le signe égal. Votre valeur devrait maintenant ressembler à ceci. PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

Comment hacker un site web ?

Cliquez sur le bouton OK.

La fenêtre pop-up des données de falsification réapparaît.
Décochez la case qui demande Continuer la falsification ?
Cliquez sur le bouton d’envoi lorsque vous avez terminé.

*Note : * : Nous ne nous sommes pas connectés, nous avons usurpé une session de connexion en utilisant la valeur PHPSESSID que nous avons récupérée via un scripting intersite.

Résumé

Comment hacker un site web ? Une application web est basée sur le modèle serveur-client. Le côté client utilise le navigateur web pour accéder aux ressources du serveur.

Les applications Web sont généralement accessibles via l’Internet. Cela les rend vulnérables aux attaques.

Les menaces pesant sur les applications Web comprennent l’injection SQL, l’injection de code, le XSS, le défigement, l’empoisonnement des cookies, etc.

Une bonne politique de sécurité lors du développement d’applications web peut contribuer à en assurer la sécurité.