Quali sono i pericoli che può incorrere una Login Page e come proteggerla da attacchi hacker.
Introduzione
Prendo spunto dall’infografica di TheSecMaster Cybersecurity per descrivere quali sono i pericoli che può incorrere il nostro sito web e la nostra applicazione sulla “Login Page”.
Una login page è una pagina web che richiede all’utente di inserire delle credenziali, come un nome utente e una password, per accedere a un servizio o a un’area riservata.
La login page serve a identificare e autenticare l’utente, garantendo la sicurezza e la privacy dei dati e delle funzionalità a cui si accede.
Tuttavia, le login page sono spesso bersaglio di attacchi hacker, che mirano a violare le credenziali degli utenti e a ottenere l’accesso non autorizzato ai servizi e ai dati protetti.
Tecniche Hacking per bypassare Login Page
Esistono diverse tecniche di hacking per superare una login page. Vediamone alcune:
1. Brute force
Questa tecnica consiste nel provare ripetutamente diverse combinazioni di nome utente e password, fino a trovare quella corretta. Questo attacco può essere automatizzato con l’uso di software appositi, che sfruttano dizionari di parole comuni o liste di password rubate.
2. SQL injection
Consiste nell’inserire nella login page delle istruzioni SQL malevole, che possono alterare il funzionamento del database che gestisce le credenziali e consentire l’accesso senza password o con una password arbitraria. Questo attacco sfrutta le vulnerabilità di validazione e sanificazione dei dati inseriti dall’utente.
Ad esempio, se un utente inserisce nella login page il carattere ’ (apostrofo), questo potrebbe essere interpretato come il termine di una stringa SQL e permettere l’iniezione di un’istruzione SQL malevola.
Per evitare questo, il carattere ’ deve essere sostituito con un altro simbolo o una sequenza di caratteri che non abbia significato per il sistema. In questo modo, il carattere ’ viene trattato come un dato e non come un codice.
Reference: SQL Injection Cheat Sheet | Invicti
3. Directory Fuzzing Attack
Consiste nel cercare di scoprire le directory nascoste o protette di un sito web, che possono contenere informazioni sensibili o funzionalità riservate. Questo attacco può essere effettuato con l’uso di software che generano e testano diverse combinazioni di nomi di directory, basandosi su dizionari o su tecniche di forza bruta.
4. Cross Site Scripting (XSS)
Consiste nell’inserire nella login page o in altre pagine del sito web dei codici JavaScript malevoli, che possono essere eseguiti dal browser dell’utente e rubare le sue credenziali, modificarne i dati, reindirizzarlo verso siti falsi o infettarlo con malware. Questo attacco sfrutta le vulnerabilità di filtraggio e di escaping dei dati inseriti dall’utente o da altre fonti.
Reference: Brute XSS – Master the art of Cross Site Scripting. (brutelogic.com.br)
5. By Default Credentials
È una tecnica che consiste nel provare ad accedere a un servizio o a un dispositivo usando le credenziali predefinite dal produttore o dall’amministratore, che non sono state cambiate dall’utente finale. Questo attacco si basa sulla negligenza o sull’ignoranza degli utenti, che non modificano le password di default o le lasciano deboli e facilmente indovinabili.
6. Response Manipulation:
Consiste nel modificare la risposta del server che gestisce la login page, in modo da ingannare il browser dell’utente e fargli credere di aver effettuato l’accesso con successo. Questo attacco può essere realizzato con l’uso di proxy, che intercettano e alterano il traffico tra l’utente e il server, o con l’uso di strumenti di debugging, che permettono di modificare il codice HTML o JavaScript della pagina web.
Come proteggere la login page dagli Hacker
Per proteggere le login page dagli attacchi hacker, è necessario adottare delle misure di sicurezza sia lato server che lato client, come:
• Usare protocolli crittografici, come HTTPS, per cifrare il traffico tra l’utente e il server e impedire l’intercettazione delle credenziali.
• Implementare meccanismi di controllo, come il CAPTCHA, il blocco dell’account o il ritardo delle risposte, per limitare il numero di tentativi di accesso e prevenire gli attacchi di forza bruta.
• Validare e verificare i dati inseriti dall’utente, per evitare l’iniezione di codici SQL o JavaScript malevoli e prevenire gli attacchi di SQL injection e XSS.
• Filtrare i dati provenienti da altre fonti, come i cookie, le URL, i parametri GET o POST, per evitare l’esecuzione di codici JavaScript malevoli e prevenire gli attacchi di XSS.
• Verificare l’integrità e l’autenticità della risposta del server, per evitare la manipolazione della risposta e prevenire gli attacchi di response manipulation.
• Cambiare le credenziali di default e usare password complesse e diverse per ogni servizio o dispositivo, per rendere più difficile l’indovinare le credenziali e prevenire gli attacchi basati sulle credenziali di default. Nel prossimo paragrafo entriamo più nel dettaglio.
• Monitorare gli indirizzi IP che tentano di accedere alla nostra Login Page con l’ausilio dei log di sistema. Per gli utenti WordPress esistono appositi plugin che verificano i tentativi di accesso non andati a buon fine,
Cambiare le credenziali di default
Le credenziali di default sono le credenziali che vengono utilizzate per accedere a un dispositivo o a un servizio per la prima volta. Sono spesso le stesse per tutti i dispositivi o servizi di un determinato tipo. Ad esempio, le credenziali di default per un router Wi-Fi potrebbero essere “admin” per il nome utente e “password” per la password.
Le credenziali di default possono essere utilizzate dagli hacker per accedere a dispositivi o servizi senza la conoscenza dell’utente. È importante modificare le credenziali di default il prima possibile dopo aver configurato un dispositivo o un servizio.
Le Google Dorks possono essere utilizzate per trovare le credenziali di default. Ecco alcuni esempi di Google Dorks che possono essere utilizzate per questo scopo:
intitle:”login page” [nome del dispositivo o del servizio]
filetype:txt [nome del dispositivo o del servizio]
intext:”admin” [nome del dispositivo o del servizio]
Ad esempio, per trovare le credenziali di default per un router Wi-Fi, potresti utilizzare la seguente Google Dork:
intitle:”login page” router
Questa Google Dork restituirà i risultati di ricerca per tutte le pagine web con la parola “login” nel titolo e la parola “router” nel titolo. Se la pagina web contiene le credenziali di default, queste saranno visibili nel codice sorgente della pagina web.
Un altro modo per trovare le credenziali di default è utilizzare un tool di hacking.
Esistono molti tool di hacking disponibili online che possono essere utilizzati per trovare le credenziali di default.
Tuttavia, è importante utilizzare questi tool con cautela, poiché possono essere utilizzati anche per scopi illeciti.
Ecco alcuni consigli per evitare di utilizzare credenziali di default:
• Modifica le credenziali di default il prima possibile dopo aver configurato un dispositivo o un servizio.
• Utilizza password complesse che includono lettere, numeri e simboli.
• Cambia le password regolarmente.
• Abilita l’autenticazione a due fattori.
Adottando queste misure, puoi aiutare a proteggere i tuoi dispositivi e servizi da accessi non autorizzati.
Conclusione
La login page è una delle pagine più importanti di un sito web o di un’applicazione. È la pagina che gli utenti utilizzano per accedere ai propri account e dati personali. Pertanto, è importante proteggere la login page da tecniche di hacking per proteggere i dati personali degli utenti.La login page contiene spesso informazioni sensibili degli utenti, come nomi utente, password e indirizzi email. Se un hacker riesce a penetrare nella login page, potrebbe rubare queste informazioni e utilizzarle per scopi illeciti, come il furto di identità o il phishing.
Se un hacker riesce a penetrare nella login page, potrebbe avere accesso a tutto il sito web o all’applicazione.
Per evitare danni alla reputazione del sito web o dell’applicazione è bene mettere la massima protezione a questa specifica pagina.
Risorse dal web
■ Attacco alle password: tecniche di cracking e consigli per metterle al sicuro – Cyber Security 360
■ Login Bypass – HackTricks
■ GitHub – trimstray/the-book-of-secret-knowledge: A collection of inspiring lists, manuals, cheatsheets, blogs, hacks, one-liners, cli/web tools and more.