Che cos’è l’hacking etico
Prima di imparare il web hacking è giusto spiegare qual è la differenza tra un hacker e un ethical hacker. L’hacking etico racchiude tutte quelle procedure che farebbe un hacker con la differenza che chi subisce l’attacco ha autorizzato questi attacchi. La realizzazione di un attacco etico comporta la duplicazione di strategie e azioni di aggressori malintenzionati. Questa pratica aiuta a identificare la vulnerabilità della sicurezza che possono essere risolte prima che un malintenzionato abbia l’opportunità di sfruttarle. Il lavoro proattivo che svolgono aiuta a migliorare la posizione di sicurezza di un’organizzazione. Con la previa approvazione dell’organizzazione o del proprietario dell’asset IT, la missione dell’hacking etico è opposta all’hacking malevolo.
Che cos’è un applicazione web
Un’applicazione Web (nota anche come sito Web) è un’applicazione basata sul modello client-server. Il server fornisce l’accesso al database e la logica aziendale. È ospitato su un server web. L’applicazione client viene eseguita sul browser Web client e sono generalmente scritte in linguaggi come Java, C # e VB.Net, PHP, ColdFusion Markup Language, ecc. I motori di database utilizzati includono MySQL, MS SQL Server, PostgreSQL, SQLite, ecc.
La maggior parte delle applicazioni Web sono ospitate su server pubblici accessibili via Internet. Ciò li rende vulnerabili agli attacchi a causa della facile accessibilità e per questo imparare il web hacking non è poi così difficile. Di seguito sono riportate le comuni minacce alle applicazioni Web
Iniezione SQL : l’obiettivo di questa minaccia potrebbe essere quello di bypassare gli algoritmi di accesso, sabotare i dati, ecc.
Attacchi denial of service : l’obiettivo di questa minaccia potrebbe essere quello di negare l’accesso legittimo agli utenti alla risorsa
Cross Site Scripting XSS : l’obiettivo di questa minaccia potrebbe essere l’iniezione di codice che può essere eseguito sul browser lato client.
Avvelenamento da cookie / sessioni : l’obiettivo di questa minaccia è di modificare i cookie / i dati di sessione di un utente malintenzionato per ottenere un accesso non autorizzato.
Manomissione del modulo : l’obiettivo di questa minaccia è modificare i dati del modulo, ad esempio i prezzi nelle applicazioni di e-commerce, in modo che l’attaccante possa ottenere articoli a prezzi ridotti.
Imparare il web hacking: introduzione al libro
Web Hacking è il libro pensato per chi vuole imparare il web hacking e capire come i cybercriminali violano siti e piattaforme web, attraverso le tecniche più comuni che riguardando il meraviglioso mondo della programmazione e del World Wide Web. Nel corso imparerai ad attaccare applicazioni web e le infrastrutture che le circondano: vedrai come costruire un laboratorio di studio in cui applicare le più note tecniche di attacco informatico ai danni di applicazioni web (come WordPress, Joomla o CMS, anche proprietari) attraverso l’analisi delle funzionalità, gli approcci white e black box, lo studio degli IDS e molto, molto altro!
Con il percorso che ti consigliamo, sarai in grado anche di comandare un intero Sistema Operativo a base GNU/Linux tramite una distribuzione Kali Linux. Ciò aiuterà a formarti in vista dei prossimi volumi e anche nella vita professionale di un esperto del settore Informatico.
Argomenti trattati
Introduzione all’IT Security, approcci di attacco, metodologie di studio e le basi per comprendere come una mente criminale approccia un attacco informatica.
Gli strumenti del mestiere, ambienti di attacco e di difesa per simulare adeguatamente un attacco informatico nel WWW.
Fondamentali del WWW, dalla programmazione PHP a quella MySQL per comprendere al meglio quali sono le falle di un’applicazione web.
Information Gathering, ovvero come raccogliere informazioni da un sistema vittima prima di poterlo attaccare.
Attacchi Informatici, dagli attacchi a dominio e host fino a quelli specifici per le web app (SQL Injection, XSS, Remote file Inclusion, File Upload, Phishing).
Violazioni Post-Attacco, tecniche e strumenti utilizzati a seguito di un attacco informatico. Strumenti di scanning come Framework e Web Application Security Scanner
