|
CHAPITRE 1 [ Chercher des vulnérabilités sur le site ]
|
| nbtstat |
Avant
de hacker un serveur, tentez une approche par script kiddie, c'est
à dire, cherchez sur le site avec un navigateur, si il ne présente
pas une faille de sécurité (Pouvant entraîner un défacage voir un
accès aux informations confidentielles)
Imaginons le d'un code source d'un site d' e-commerce.
<form action=url/cgi-bin/formulaire.pl method=post>
<input type=hidden name=prix value=39,75€>
On peut acheter l'article pour le montant désiré!
Modifiez le code source dans un fichier arnaque.html
<input type=hidden name=prix value=39,75€> avant
<input type=hidden name="prix" value="0,75€"> après
L'exemple est simple mais ce genre de failles n'est pas rare! |
|
Vulnérabilité des scripts CGI
|
| Sécurité |
Les attaques CGI ne sont plus trop employées mais font encore le bonheur
de certains hackers.
'test cgi' permet de faire un dir des fichiers ou d'afficher le contenu
de certains fichiers (exemple etc/passwd ) Heureusement il existe
des programmes qui automatisent la recherche de failles cgi sur un
site comme Vulnerability_scan |
|
Se protéger
|
| Sécurité |
un blooffer, un spoofer |
|