Comprendre le hacking web

De très nombreux sites, surtout en anglais, expliquent les bases de hacking * en matière de sites web mais peu d’entre eux trouvent la bonne façon de s’adresser à leur public, dans le fond et dans la forme. Certains sites didactiques de cracking web comme Bases du hakcking   permettent de comprendre comment les sites web sont attaqués.

L’injection de code est un classique des techniques utilisées par les hackers et crackers. Peu de développeurs ont les compétences pour mettre au point ces attaques mais beaucoup d’utilisateurs sont capables de les adapter pour défigurer les pages d’un site, modifier ou effacer son contenu, le rendre inactif.

Sur le site Bases du hacking, figurent une bonne vulgarisation de ces techniques mais il faut  avoir de bonnes notions techniques en matière de réseaux, de langages ( PHP, Javascript) et de bases de donnés ( Mysql, Postgrès) pour les comprendre. Il s’agit des attaques suivantes:

Injections SQL avancées et aperçu de la puissance d’expression du langage SQL
Exploits HTTP Splitting, la compromission complète des pages présentées
Faille Cross-Site Tracing (XST) : passer outre les protections HTTPOnly

Durant  la vague d’attaques de sites éditoriaux français (Mediapart, Le Parisien, L’express, etc.) de janvier 2015, après l’attentat à Charlie Hebdo qui ont subi des attaques de type déni de Service DDoS (distributed denial of service attack).  Ce type d’attaque a évolué au fil des années et elle est maintenant effectuée par des crackers spécialisés dans la location sur les réseaux parallèles d’armées de « zombies », à savoir des ordinateurs infectés parfois à l’insu de leurs propriétaires. A partir de ces réseaux de plusieurs milliers d’ordinateurs, il est possible de lancer des attaques ciblées sur un site web en leutr envoyant des milliers de requêtes qui « noient » les serveurs des hébergeurs de ces sites . Les crackers peuvent lancer une attaque par DDos et demander une rançon pour la stopper. Peu d’institutions ou d’entreprises signalent ce type d’attaques pourtant bien réelles pour des raisons compréhensibles d’image et de confidentialité.

* A ne pas confondre avec les sites pour des crackers qui fournissent des scripts prêts à l’emploi avec des intentions malveillantes.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*