Mille modi per mandare in tilt un sito

Come si può fare

ehm..... (sarebbe un tantino illegale) ......
ma ti interessa proprio?

Si, voglio sapere cosa potrebbe succedere al mio... non si sa mai!

visto che è in html bisognerebbe sapere la pass

e come si può sapere la pass. e come proteggersi?

mai sentito parlare di forza bruta (brute force) nn puoi proteggerti cmq aspetta qualcuno + esperto

ddos, php injection, sql injection, exploit, buffer overflow, brute force sulla porta 21, social engineering...

nessun file che sta in rete è sicuro :winkOLD:

http://insecure.org
www.zone-h.it sono due importanti siti sulla sicurezza

ddos, php injection, sql injection, exploit, buffer overflow...

nessun file che sta in rete è sicuro :winkOLD:

http://insecure.org
www.zone-h.it sono due importanti siti sulla sicurezza

ma considerando che ha il sito in html non penso abbia molti problemi

Che fortuna! :grin:

ho modificato il messaggio.

in un sito solo html il (d)dos e l'attacco bruteforce ftp potrebbero funzionare.
potrebbero funzionare anche exploit di apache (se non viene patchato)

quelli riguardano il server in quel caso va off una bella parte di av

con il bruteforce un hacker/cracker/script kiddie/lamer... conquista solo il sito e non tutto il server

con il bruteforce si io dicevo dos e exploit

[marcio]

Se hai il sito solo in html la tua sola preoccupazione è quella di trovarti una password difficile per l'account,per il resto ci pensa AV

[mythologia]

ma chi di voi è capace di fare una cosa del genere??

P:S: io non so farlo e nemmeno voglio farlo, non si fanno queste cose

basta leggere una bella guida trovare il bersaglio giusto e chiunque ha un po di dimesitchezza è capace ma se nn si è esperti non conviene perchè si rischia di lasciare delle tracce

@ mythologia:

Yes, I am a criminal. My crime is that of curiosity. My crime is
that of judging people by what they say and think, not what they look like.
My crime is that of outsmarting you, something that you will never forgive me
for.

un hacker è solo curioso e si sfida a migliorare sempre più.

personalmente considero le azioni di hacking (non di cracking) "normali", anche se alcune sono illegali.

e poi per attacchi di questo genere non ci vuole grandissima abilità

[binarysun]

Allora un sito è attaccabile per 3 vie:

-UTENTE
Il famoso Social Enginering.
Attenzione è molto più semplice di quello che sembra, un giorno potrebbe arrivarvi una bella mail da Altervista con chiesto di cambiare la password a causa di un problema di sicurezza...oppure perchè stannocambiando il pannello.
Voi seguite il link fasullo nella pagina e inserite la pasword vecchia e quella nuova in un form fatto appositamente.
Successivamente il furbone la legge e la cambia in modo da non farvi accorgerre di nulla...e un bel giorno ZAC!
Spesso basta spacciarsi per ammisistratori per farsi dare la password...ma sono casi rari.
Oppure potrebbe essere il PC del'utente a essere compromesso.
Se una persona conosce la vostra password della mial siete fregati...senza saperlo.

-SITO
Alcuni bug negli script possono permettere ad "esterni" di compiere azioni sul vostro spazio.
Ad esempio SQL injection, oppure bug in script latoclient.
Gli script "Famosi" solitamente sono i più attaccabili, non perchè meno protetti, ma perchè solitamente più compessi e più conosciuti alla gente.
Per esempio il forum ATTUALMENTE(vecchio pannello) installabile automaticamente da AV ha un grosso buggone!
Per evitare queste cose è bene stare attenti sul fronte aggiornamenti, e se il sito è fatto "hand-made" fare i controlli basilari sui dati inseriti.

-SERVER
Questo è il mestiere dell'hacker..entrare nel server.
Potete fare poco in questo frangente, solo sperareche i server sian gestiti in maniera corretta e aggiornati.


NB
DISCORSO PASSWORD
Sfatiamo alcuni miti:
-L'attacco bruteforce all'ftp NON si può fare dall'esterno.
Si fa solamente se si è in possesso di un file password, questo perchè anche con un file dizionario ci si metterebbe troppo tempo.
-La password non deve essere semplice ne troppo compicata:
Con semplice intendo che deve essere almeno lunga 7 caratteri, e non essere qualcosa di "leggibile o famosa", per assurdo la pass "i3id" è più sicura di "Goldrake".
Con complicata intendo dire che "$%LDFK£/K£RK" non è una buona password perchè non riuscite a ricordarla, e quindi sarete costretti a salvarla o scriverla da qualche parte rendendola "debole".
-imparate a memoria la password.

[cosisonoio]

Allora un sito è attaccabile per 3 vie:

-UTENTE
Il famoso Social Enginering.
Attenzione è molto più semplice di quello che sembra, un giorno potrebbe arrivarvi una bella mail da Altervista con chiesto di cambiare la password a causa di un problema di sicurezza...oppure perchè stannocambiando il pannello.
Voi seguite il link fasullo nella pagina e inserite la pasword vecchia e quella nuova in un form fatto appositamente.
Successivamente il furbone la legge e la cambia in modo da non farvi accorgerre di nulla...e un bel giorno ZAC!
Spesso basta spacciarsi per ammisistratori per farsi dare la password...ma sono casi rari.
Oppure potrebbe essere il PC del'utente a essere compromesso.
Se una persona conosce la vostra password della mial siete fregati...senza saperlo.

-SITO
Alcuni bug negli script possono permettere ad "esterni" di compiere azioni sul vostro spazio.
Ad esempio SQL injection, oppure bug in script latoclient.
Gli script "Famosi" solitamente sono i più attaccabili, non perchè meno protetti, ma perchè solitamente più compessi e più conosciuti alla gente.
Per esempio il forum ATTUALMENTE(vecchio pannello) installabile automaticamente da AV ha un grosso buggone!
Per evitare queste cose è bene stare attenti sul fronte aggiornamenti, e se il sito è fatto "hand-made" fare i controlli basilari sui dati inseriti.

-SERVER
Questo è il mestiere dell'hacker..entrare nel server.
Potete fare poco in questo frangente, solo sperareche i server sian gestiti in maniera corretta e aggiornati.


NB
DISCORSO PASSWORD
Sfatiamo alcuni miti:
-L'attacco bruteforce all'ftp NON si può fare dall'esterno.
Si fa solamente se si è in possesso di un file password, questo perchè anche con un file dizionario ci si metterebbe troppo tempo.
-La password non deve essere semplice ne troppo compicata:
Con semplice intendo che deve essere almeno lunga 7 caratteri, e non essere qualcosa di "leggibile o famosa", per assurdo la pass "i3id" è più sicura di "Goldrake".
Con complicata intendo dire che "$%LDFK£/K£RK" non è una buona password perchè non riuscite a ricordarla, e quindi sarete costretti a salvarla o scriverla da qualche parte rendendola "debole".
-imparate a memoria la password.

Ottimo post! Esemplare direi!!!

-L'attacco bruteforce all'ftp NON si può fare dall'esterno.
Si fa solamente se si è in possesso di un file password, questo perchè anche con un file dizionario ci si metterebbe troppo tempo.

Perche' no?
A menon che il server dopo un certo numero di tentativi ti banni è sicuramente un attacco fattibile...(certo magari per scoprire una psw ci metti 9 anni... pero' puo' funzionare...)

[cosisonoio]

Perche' no?
A menon che il server dopo un certo numero di tentativi ti banni è sicuramente un attacco fattibile...(certo magari per scoprire una psw ci metti 9 anni... pero' puo' funzionare...)

In teoria dalle 6 ore fino a tempo indeterminato...

ha ragione theotacon secondo me.
secondo me le password migliori in assoluto sono come questa : $%LDFK£/K£RK però bisogna fare fatica per ricordarle (per fortuna ho una buona memoria e password simili sono solo nel mio cervello e non su fogliettini )

ha ragione theotacon secondo me.
secondo me le password migliori in assoluto sono come questa : $%LDFK£/K£RK però bisogna fare fatica per ricordarle (per fortuna ho una buona memoria e password simili sono solo nel mio cervello e non su fogliettini )

Quella pass. è la tua? :grin:

[binarysun]

Perche' no?
A menon che il server dopo un certo numero di tentativi ti banni è sicuramente un attacco fattibile...(certo magari per scoprire una psw ci metti 9 anni... pero' puo' funzionare...)

Più di 9 anni!
Ammettiamo che il programma non abbia tiumeout programmati, non ti blocchi se fai troppi errori e il server non ti logghi i tentativi...

diciamo che la chiave è al massimo grande 8 caratteri, il che significa
2^64 possibili combinazioni
facendo un tentativo ogni secondo (ottimistico dato che sei via rete) ci metteresti la bellezza di
585 * 10^9 anni (anno più anno meno)
quando si stima che l'universo abbia
10 * 10^9 anni

...chi vince, accettiamo scommesse!

Anche usando un dizionario solitamente contiene milioni di vocaboli...che significa giorni, e solo per scopi militari o di alta finanza ti metti un mese attaccato ad un seerver a provare codici...con il rischio che la cambino il mese dopo.

[s7ntech]

C'è anche un fattore della lunghezza della password, è tutta approssimativa, tranne il caso in cui la si sappia

E io aggiungerei: la password che vi da' av al momento dell'iscrizione SEMBRA casuale ma si puo' calcolare con un minimo di attenzione, per cui va cambiata IMMEDIATAMENTE.

[ot]Rommel: leggo sempre con piacere The Mentor :grin:[/ot]

[s7ntech]

Se uno non la cambia sarebbe uno sprovveduto

in effetti le password di default di altervista hanno uno schema fisso, che permette di ridurre il numero di tentativi :eyes:

[ot] come non conoscere il manifesto hacker? :eyes: io mi sto leggendo kilobytes di guide... [/ot]

[madbad]

[ot]
Volendo esiste un'altro metodo .... rintracciare fisicamente il server dove il sito risiede e armarsi di un martellino da 100kg
[/ot]