Tecniche di attacco informatico

difendersi dagli attacchi informatici

Sui tipi di attacco informatico c’è molta informazione, ma altrettanta confusione. Per fare chiarezza proponiamo il corposo rapporto Pdf sottostante, che riporta i vari casi di attacchi in modo dettagliato. Ancora una volta desideriamo segnalare quanto sia importante, anche se non si è esperti, fare attenzione ad alcune attività basilari di prevenzione.

La maggior parte delle criticità inerenti la sicurezza, infatti, sono causate da nostre mancanze o convinzioni sbagliate.

Errori più comuni circa la sicurezza:

  • Un Plugin non basta e bisogna aggiornare!
    Molti utenti WordPress alle prime armi sono convinti che installare un Plugin sia sufficiente per rendere il sito sicuro. Poi magari non aggiornano i plugin, ne’ il tema ne’ il CMS 😉 (Eppure noi ce la mettiamo tutta per fare prevenzione: mandiamo avvisi nella newsletter, pubblichiamo continui aggiornamenti nel blog e rispondiamo direttamente nel gruppo di supporto WordPress su Facebook alle domande degli iscritti sull’argomento).
  • User: “admin” e password la tua data di nascita? Naaaa.
    Oppure continuano ad accedere al sito usando come ID la parola “admin” . O sia per il sito che per l’account email, impostano una password come la data di nascita o altra sequenza numerica o parola molto facili da individuare e rubare.
  • Template e plugin craccati? Poi non lamentarti se ti infettano il sito.
    Altri utenti invece i guai se li cercano installando template e plugin che dovrebbero essere a pagamento, ma dei quali hanno cercato la versione craccata (e naturalmente modificata per gli scopi dello sviluppatore che l’ha resa disponibile). Vedi articolo correlato.
  • Lasci i device incustoditi?
    Almeno metti una password che blocchi l’accesso! Altrimenti in caso di furto del cellulare, del tablet o del notebook, il ladro potrá accedere ai tuoi account e renderti la vita alquanto difficile. (Almeno sino a che non corri a cambiare le password).

L’elenco potrebbe allungarsi di parecchio, ma è già sufficiente per sottolineare che il 90% degli attacchi informatici che subiamo avrebbe potuto essere evitato.

Gli attacchi informatici più diffusi.

Le attivitá a danno degli utenti, scatenate da un attacco informatico, riguardano la raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, ma anche l’alterazione del comportamento dinamico delle pagine web.

Il Cross-site scripting (XSS) è responsabile di circa l’80% di questi attacchi.

Di che si tratta?
E’ una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell’input nei form. Un XSS permette ad un Cracker di inserire o eseguire codice lato client al fine di attuare un insieme variegato di attacchi. Nell’accezione odierna, la tecnica ricomprende l’utilizzo di qualsiasi linguaggio di scripting lato client tra i quali JavaScript, VBScript, Flash, HTML.

Difendersi dall’XSS con escape degli input in PHP.

Il metodo più sicuro per un programmatore PHP, è quello di usare una delle tre funzioni che permettono l’escape dei caratteri html inserite in una stringa. Dette funzioni sono: htmlspecialchars, htmlentities, strip_tags: tutte sicure, si differenziano soltanto per l’output.

  • htmlspecialchars()
echo htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
# L'output sarà: 
&lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt; dato che converte i caratteri "particolari", in codice html.
  • htmlentities
echo htmlentities("I'm <b>bold</b>");
# L'Output sarà di conseguenza: 
I'm &lt;b&gt;bold&lt;/b&gt;
  • strip_tags
$text='<p>Testo interno al paragrafo.</p><!-- commento --> <a href="#ancora">Altro testo</a>';

echo strip_tags($text);

# Il particolare output di questa funzione, sarà: 
Testo interno al paragrafo. Altro testo

# E' possibile non rimuovere alcuni tag utilizzando il secondo parametro opzionale:

echo strip_tags($text,'<p>');

# Il particolare output di questa funzione, sarà: 
<p>Testo interno al paragrafo.</p> Altro testo

Documenti tecnici utili:

Sanitize filter PHP

Strip tags

htmlentities

Tutte le tecniche di attacco informatico

 


Informazioni su Staff Misterdomain

Misterdomain.eu è un servizio di Inmediatamente Web SL - Tenerife (ES). Lo staff è composto da specialisti in aspetti tecnici e di digital marketing per offrire servizi ed assistenza sempre più performanti su domini, hosting e siti WordPress.