Curiosità hackeraggio

[Southerner]

Buongiorno, ho sempre avuto la curiosità di capire come si hackera un sito. Premetto che non ho alcuna intenzione di farlo per alcun motivo al mondo. Mi incuriosisce solo capire quali sono i meccanismi tramite i quali una persona possa controllare un sito che non gli appartiene.
La domanda che vorrei porvi è: posso creare un sito mio, anche tramite wordpress o host gratutiti, per poi esercitarmi ad hackerarlo? Oppure questo procedimento è illegale? Qualcuno sa cosa dice la legge in merito a questo? In ogni caso, se provassi a farlo, potrei essere denunciato dall'host? Grazie in anticipo a tutti

 

[Moffetta88]

Se è roba tua puoi fare quello che vuoi..
I siti fatti con wordpress sono i primi ad esser hackerati in quanto è composto da molti plugin sviluppati da cani e porci e molto spesso non aggiornati.

i incuriosisce solo capire quali sono i meccanismi tramite i quali una persona possa controllare un sito che non gli appartiene

semplicemente falle di sicurezzadovute a componenti non aggiornate o sviluppate male.

 

[Southerner]

Se è roba tua puoi fare quello che vuoi..
I siti fatti con wordpress sono i primi ad esser hackerati in quanto è composto da molti plugin sviluppati da cani e porci e molto spesso non aggiornati.

semplicemente falle di sicurezzadovute a componenti non aggiornate o sviluppate male.

Ok quindi fondamentalmente se hackero un sito creato da me (anche se hostato da wordpress o simili) nessuno può dirmi nulla, giusto? Cioè non è che la piattaforma mi denuncia perchè l'ho bucata?
C'è qualche riferimento di legge che parla di questo?

 

[Moffetta88]

No se è hostato da wp no. Ma puoi andare su altervista, caricare un tuo wordpres e allora fare quello che vuoi

 

[r3dl4nce]

Ok quindi fondamentalmente se hackero un sito creato da me (anche se hostato da wordpress o simili) nessuno può dirmi nulla, giusto?

Insomma.
A parte che intanto secondo me fanno prima a entrare in funzione i vari blocchi automatici di sicurezza (stile fail2ban e simili che mi sembra wordpress comunque implementi) e vieni tagliato fuori.
Poi se nello strano caso tu riuscissi a accedere semplicemente alla pagina di amministrazione del sito, se è tuo, nessuno ti potrebbe dire nulla.
Diverso se tu riuscissi ad avere accessi illegalmente alla piattaforma di hosting (accessi ssh, ecc)

 

[Southerner]

Insomma.
A parte che intanto secondo me fanno prima a entrare in funzione i vari blocchi automatici di sicurezza (stile fail2ban e simili che mi sembra wordpress comunque implementi) e vieni tagliato fuori.
Poi se nello strano caso tu riuscissi a accedere semplicemente alla pagina di amministrazione del sito, se è tuo, nessuno ti potrebbe dire nulla.
Diverso se tu riuscissi ad avere accessi illegalmente alla piattaforma di hosting (accessi ssh, ecc)

Capito, grazie mille.
Qualcuno ci ha mai provato?

 

[sp3ctrum]

Se non sbaglio @DispatchCode ha fatto delle guide e mi pare anche che ci siano siti fatti adhoc per essere hackerati

 

[Southerner]

Se non sbaglio @DispatchCode ha fatto delle guide e mi pare anche che ci siano siti fatti adhoc per essere hackerati

Per caso c'è un link dove posso consultarle? Grazie

 

[DispatchCode]

Ciao, quelle che cerchi tu sono probabilmente piattaforme come TryHackMe o HackTheBox.

Queste ti mettono a disposizione macchine - create da loro o dagli utenti - per essesere "hackerate". Dovresti trovare un pò di tutto ormai, da pentest a binary (dove serve magari fare del reverse engeneering anche).

Comunque puoi anche, in piccolo, prenderti una VPS e tirar su qualcosa tu. Ma implica il configurare la macchina e lasciare apposta qualcosa di "fatto male" così da trovarlo e sfruttarlo, oppure sfruttare un'applicazione vulnerabile a SQL Injection (ma comporta a sua volta saper programmare).

I siti li sopra, specie HackTheBox, hanno del materiale di studio. Non sono esattamente per neofiti in campo tecnologico però, non so con che competenze parti. Chiaro che puoi sempre acquisirle una volta sulle piattaforme, capendo prima ciò di cui necessiti.

Io ho solo parlato di altri tipi di siti, in particolare ho citato qualche volta Crackmes.one. Questo è uno dei siti che mette a disposizione vari "programmini" creati dagli utenti così che si fossa far pratica con il cracking (o i keygen). Alcuni di questi programmini li ho "reversati" e ne ho scritto in alcuni articoli che trovi qui (sono tutti quelli che iniziano con Reverse Engineering): https://forum.tomshw.it/threads/le-guide-degli-utenti.755847/

 

[SysLack]

Per caso c'è un link dove posso consultarle? Grazie

Non so se sono esattamente quello che intendi, ma per far pratica, oltre alle CTF ("catch the flag") già citate, puoi usare questi:
Metasploitable, DVWS e e DVWA.

 

[Southerner]

Ok grazie mille a tutti per le risposte.