C’è chi riesce ad accedere al pannello di amministrazione del sito Web utilizzando un semplice tool. Ecco allora come forzare un sito WordPress effettuando un attacco brute force.
WordPress è ad oggi il sistema CMS più utilizzato per la progettazione di Blog e siti Web. La piattaforma viene adoperata anche da alcuni enti governativi di tutto il mondo per pubblicare e condividere on-line materiale di ogni genere. Purtroppo, prendere il controllo del sistema di amministrazione di un sito realizzato con WordPress è diventato un gioco da ragazzi. I pirati, servendosi di un software dedicato al pen-test di altissimo livello, come Acunetix, riescono a scoprire la password di amministrazione del sito. Per compiere le loro malefatte ricorrono a quello che viene chiamato “Attacco a Dizionario” grazie al quale potranno testare milioni di password in maniera automatica fino ad ottenere quella relativa all’account di amministrazione del sistema. Il pirata, prima di procedere all’attacco, dovrà essere in possesso di alcuni database (chiamati anche “dizionari”, da cui deriva il nome dell’attacco) contenente milioni, a volte miliardi, di parole da testare sul relativo account da violare. Gli hacker si scambiano quotidianamente questo tipo di materiale usando i canali underground della Rete (come ad esempio TOR) o tramite file Torrent. Ricordiamo che le procedure descritte in queste pagine sono state pubblicate a scopo puramente didattico: vogliamo permettere ai lettori di conoscere e imparare a difendersi dai pericoli a cui sono esposti navigando in Internet o, in generale, utilizzando applicazioni affette da vulnerabilità.
I pirati, per compiere le loro malefatte, utilizzano il software Acunetix. Si tratta di un programma usato dagli esperti di sicurezza informatica, disponibile in versione trial da 15 giorni. Avviato il software, il pirata si sposterà sulla scheda Authentication Tester (selezionabile sulla parte sinistra dell’interfaccia), che conterrà il modulo dedicato al test per gli attacchi a dizionario, sia tramite richieste HTTP che tramite form HTML. Da qui effettuerà alcune particolari impostazioni.
LE IMPOSTAZIONI DEL SOFTWARE PER SFERRARE L’ATTACCO
Nel caso del modulo di autenticazione per WordPress, il pirata andrà a settare opportunamente Acunetix per “bucare” qualsiasi tipologia di form.
TARGET URL TO TEST
Imposterà l’URL per l’accesso al pannello di amministrazione (generalmente: http://www. nome-blog.com/wp-admin/)
AUTHENTIGATION METHOD
Da qusta voce il pirata setterà il metodo di autenticazione come Web form based
LOGON HAS FAILED
Imposterà Result contains dal menu a tendina della voce Logon has failed if ed inserirà la dicitura Errore nel modulo testuale adiacente
BliSF-RNAME
Imposterà i due percorsi contenenti l’username da
testare ed il relativo dizionario delle password
SELECT USER PASSWORD
Imposterà il nome dei form campi di autenticazione premendo Select posto in alto a destra alla voce Select user/password form fields to use. Nel caso di WordPress selezionerà le voci log per il nome utente e pwd per la password
START
Lancerà l’attacco premendo il bottone Start posto in alto a destra. L’eventuale password (se contenuta aH’interno del dizionario utilizzato) verrà mostrata al pirata nella parte inferiore della scheda appena configurata. L’operazione può richiedere da pochi minuti a diversi giorni.
[Via]
Con l'arrivo di marzo, gli appassionati di tecnologia e informatica sono chiamati a cogliere le…
Nel 2022 abbiamo discusso dell'innovativo videogioco Autopsy Simulator, che proponeva una simulazione realistica delle autopsie…
Mercedes-AMG sta sviluppando una sportiva elettrica, anticipata dal concept Vision AMG presentato nel maggio del…
Esistono molteplici utilizzi "virtuosi" dell'intelligenza artificiale, ma sono pochi quelli che tengono conto in modo…
Rinnovare il passaporto è diventato un vero e proprio incubo! La difficile situazione per ottenere…
Se avete deciso di abbandonare il vostro spazzolino manuale a favore di uno elettrico, ma…