Perchè DoSsare Un Sito Web È Impossibile (e Smettila di Auto-DoSsarti)

Molti mi chiedono: come faccio a buttare giù un sito? Come faccio a trovare un DoSser che funziona? Alcuni vedendo che, dopo aver DoSsato un sito web, quest'ultimo non risulta essere raggiungibile (o perlomeno risulta essere lento) credono addirittura che la tecnica abbia funzionato e si sentono hacker. In realtà si stanno auto-DoSsando senza saperlo... Ma approfondiamo l'argomento e facciamo chiarezza.

Read More

DoS, Denial of Service: Come DoSsare Un Server

Mi sono ripromesso di scrivere una guida aggiornata riguardo alla tecnica DoS perché ormai questo articolo è obsoleto e troppo elementare. Ecco, dunque, che scrivo una guida più dettagliata e completa riguardo alla tecnica DoS, molto discussa ma poco compresa dalla maggior parte delle persone che approcciano il mondo dell'hacking. Questo articolo ha il solo scopo di informarti e di fornirti informazioni valide dato che in giro per il web girano tante guide o tutorial che hanno l'utilità di un piumone il 15 Agosto.

Read More

XSS: Cross-site scripting - Parte 2

Nella prima parte abbiamo visto cos'è teoricamente la tecnica del Cross-site Scripting. In questa seconda parte, attraverso un video (ottimo strumento didattico), vediamo come sfruttare una vulnerabilità ad XSS e quali stringhe di codice è possibile iniettare per rubare i cookie.

Read More

XSS: Cross-site scripting - Parte 1

La sicurezza online non esiste. Non c'è neanche un sito web sicuro al 100%. Per questo motivo i grandi colossi come Google e Facebook pagano profumatamente hacker ed esperti in sicurezza per testare continuamente e trovare falle nella sicurezza delle loro pagine web ed applicazioni. Una tecnica che accompagna l'SQL Injection è l'XSS (che sta per cross-site scripting) e consiste nell'iniettare stringhe di codice (spesso Javascript) nei form e farle eseguire per ottenere informazioni o rubare i cookie (e di conseguenza la sessione di un utente).

Read More

Come Inviare Email Anonime O Da Parte Di Un Indirizzo Email Altrui

Il titolo di questo articolo può sembrare esagerato ma è la verità. Non solo è possibile inviare email anonime, ma addirittura si può inviare un email da parte di un indirizzo di posta elettronica altrui. Ad esempio, è possibile inviare ad un indirizzo di posta elettronica una email da parte bill.gates@microsoft.com oppure da parte di un indirizzo inesistente o anonimo. Come è possibile inviare mail anonime e da parte di un indirizzo email altrui? Continua a leggere questo articolo.

Read More

PHP: Rubare Password Con I Fake Login - Parte 3

Dopo aver toccato con mano il funzionamento di un fake login ed aver visto il codice minimo ed indispensabile e la coordinazione esistente tra le varie pagine non ci resta che fare un passo avanti: migliorare per rendere il fake login più credibile.

Read More

Creare un sito web: cosa occorre

Avrei il desiderio di creare un sito web tutto mio e personalizzarlo a mio piacimento ma la domanda è: da dove inizio? Questa è la "domanda-ostacolo" che ti blocca dal farlo. Per questo ho deciso di scrivere questa guida che in soli 3 semplici passi colmerà i vuoti in merito all'argomento.

Read More

PHP: Rubare Password Con I Fake Login - Parte 2

Analizziamo nel dettaglio la pagina send.php ovvero la pagina che ricava le credenziali che l'utente ha inserito in quello che credeva il login quando in realtà era una semplice form "ruba-dati". Nel nostro caso la form chiedeva solo email e password ma possiamo aggiungere molti altri campi come la data di nascita, comune di nascita o codice fiscale. Molto gente cadrà nel "tranello". In questa parte della guida, vedremo anche il funzionamento delle pagine log.txt e ok.php.

Read More

PHP: Rubare Password Con I Fake Login - Parte 1

Non molto tempo fa hanno avuto il "boom" i fake login, ovvero pagine web (molto spesso simili o uguali a siti come Facebook, Hotmail, Twitter) che chiedono i dati di accesso garantendo login più sicuri e più veloci oppure promettendo ricompense quando in realtà il loro scopo è rubare email e password, se non altri dati. I fake login hanno mietuto e mietono ancora molte vittime, devo ammetterlo: anche io ho utilizzato questa tecnica (quando stavo "dalla parte dei cattivi") e non potete immaginare quanta gente si è fatta abbindolare. Questa guida, come ben sapete, è a solo scopo informativo e spiega come fanno i truffatori a rubare le password con i fake login e come difendersi da essi.

Read More

SQL Injection: Rubare Informazioni Da Un Database - Parte 3

Tutto è stato predisposto per estrarre le informazioni dal database. Nelle precedenti guide ci siamo accertati della vulnerabilità del sito e abbiamo ottenuto il numero il numero di colonne selezionate dalla query della pagina. Ora non resta che l'estrapolazione vera e propria dei dati, praticamente non faremo altro che modificare la query in modo da visualizzare le informazioni che ci interessano.

Read More

SQL Injection: Rubare Informazioni Da Un Database - Parte 2

Dopo essersi accertati della vulnerabilità del sito occorre "coordinare" gli elementi della news in modo da estrapolare informazioni dal database. Non bisogna fare altro che visualizzare una "news virtuale" dove  invece del titolo e del corpo della notizia ci saranno i dati da estrarre.

Read More

SQL Injection: Rubare Informazioni Da Un Database - Parte 1

Una buona parte del web, circa l'80% dei siti, è vulnerabile a seri attacchi. La sicurezza online è un qualcosa di relativo e di irraggiungibile. Quest'oggi lo dimostrerò mostrandovi una tra le tecniche hacker più usate per rubare informazioni da un database, ovvero l'SQL Injection. È inutile dire che questo metodo funziona solo su siti vulnerabili a tale tecnica e, fidatevi, ce ne sono tanti.

Read More