Download as PDF, PPTX
![POST
/?
m=Profile&func=get_raw_blog_entry&us
er_id=<user_id>&ajax=1&store=0&aja
x_target=none
HTTP/1.1
Host: wwwb21.tuenti.com
[...]
blog_entry_id=<another_blog_entry_id
>&csfr=<token>
Tuenti
Social
Network](https://image.slidesharecdn.com/codemotion2013mi-hvd-onofri-131203052406-phpapp01/75/Hackers-vs-Developers-Nuove-e-vecchie-vulnerabilita-con-la-OWASP-TOP-10-2013-39-2048.jpg)
Uploaded bySimone Onofri
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Il documento presenta l'evoluzione delle vulnerabilità informatiche facendo riferimento alla OWASP Top 10 del 2013. Vengono analizzate diverse tipologie di vulnerabilità, come la mancanza di controllo degli accessi, la scarsa gestione delle sessioni e le vulnerabilità di iniezione. Al termine, viene sottolineata l'importanza della sicurezza informatica e dell'aggiornamento delle applicazioni per mitigare i rischi.
More Related Content
Similar to Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
- 1. Simone Onofri Hackers vs.Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013 simone.onofri@techub.it - Techub S.p.A.
- 2.
- 4.
- 5.
- 6. Agenda Introduzione ! Come si sono evolute le minacce… ! …la OWASP TOP 10 2013! ! Conclusioni
- 7. Come si sono evolute le minacce nel tempo e perché la OWASP TOP 10 2013
- 8.
- 9.
- 10.
- 11. 2003 nasce la TOP Ten
- 12. 2013 10 anni di TOP Ten!
- 13. La OWASP TOP 10 2013
- 14.
- 15.
- 16. A10. Unvalidated Redirect e Forwards Le vulnerabilità di Gpo Unvalidated Redirect e Forwards si verificano quando daO non validaO uGlizzaG per gesGre redirezioni verso altre pagine o siG, permeQendo di redirezionare l’utente su pagine o siG terzi. Tali vulnerabilità possono essere uGlizzate da malware o per aQacchi di phishing come per quesGoni di Black SEO -‐ secondo il parGcolare redirect uGlizzato dalla pagina.
- 17.
- 18. soPware not updated since 2006…
- 19. HTTP/1.1 404 /nonexistantpage.jsp Date:Tue, 29 Nov 2013 09:00:00 GMT Server: Apache/2.2.16 (Win32) mod_jk/1.2.30 X-Powered-By: Servlet 2.4; JBoss-4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)/Tomcat-5.5 Pragma: no-cache Content-Length: 1087 Content-Type: text/ html;charset=utf-8 Apache e Jboss
- 20. A9. Using Components with Known VulnerabiliOes Le vulnerabilità di questo Gpo insistono sulla configurazione e deployment di sistemi e/o applicazioni. L’impaQo varia secondo la problemaGca specifica, ad esempio dalle vulnerabilità presenG in un applicaGon server o una libreria applicaGva non aggiornata. La responsabilità dell’aggiornamento è per alcuni aspeZ sistemisOca, per altri applicaOva; altri aggiornamenG potrebbero inoltre dipendere da necessità applicaGve ma insistere sui sistemi.
- 21.
- 22. explaning **** to management…
- 23.
- 24. A8. Cross Site Request Forgery (CSRF) Le vulnerabilità di questo Gpo, solitamente considerate problemaGche nella gesOone della sessione, permeQono di far eseguire richieste arbitrarie ad un utente verso un’applicazione potendone così sfruQare l’accesso, senza che l’utente sia noGficato dell’aZvità. Il browser, quando esegue una richiesta verso un’applicazione, invia automaGcamente eventuali cookie presenG. La CSRF è parGcolarmente criGca per operazioni che modificano lo stato del sistema.
- 25.
- 26.
- 27. http://www.example.com/ bin.php?id=1&download=1 …un noto sistema sullo stile di pastebin
- 28. A7. Missing FuncOon Level Access Control Le vulnerabilità di questo Gpo consistono nelle problemaGche che espongono funzionalità che dovrebbero invece essere proteQe da un controllo accessi. Riguardano pertanto l’autorizzazione, che può essere gesGta -‐ secondo i contesG -‐ sia lato applicaGvo che lato sistemisGco (in questo caso tramite la configurazione). L’impaQo dipende dal Gpo di funzionalità cui si ha accesso.
- 29.
- 30. i miei daO… il mio tessoro…
- 31. captcha-commits@lists.phpbb.com 54a946c47dd434b2 catdb-commits@lists.phpbb.com6f543db8f086e11f convertors-commits@lists.phpbb.com c192b68baacc8842 documentation-commits@lists.phpbb.com f85ffcdf9262420c easymod-commits@lists.phpbb.com 5db5bf75be85191b kbase-commits@lists.phpbb.com 7c843188ed2f6021 modteam-commits@lists.phpbb.com 533aeefe56bfa30c prosilver-commits@lists.phpbb.com 859785a9cc724e03 website-commits@lists.phpbb.com 3c79b9864ae5ce43 phpbb-honey-commits@lists.phpbb.com 7e9563750650e4c4 st-tool-commits@lists.phpbb.com 534d4a9b74bb77aa iit-track-commits@lists.phpbb.com 8f318ffd3a2067c8 packagemanager-commits@lists.phpbb.com 81657892dddafdca moddocs-commits@lists.phpbb.com 85c837b7f78e5435 phpBB hacked
- 32. $ python sslyze.py--regular www.example.com ! ! ! ! ! ! ! ! CHECKING HOST(S) AVAILABILITY ----------------------------www.example.com:443 => 127.0.0.1:443 SCAN RESULTS FOR WWW.EXAMPLE.COM:443 - 127.0.0.1:443 --------------------------------------------------------* Compression : Compression Support: CRIME Enabled zlib compression
- 33. A6. SensiOve Data Exposure Le vulnerabilità di questo Gpo consistono nelle problemaGche che espongono informazioni che dovrebbero invece essere proteQe. Le informazioni devono essere proteQe quando trasmesse (sicurezza della comunicazione), quando memorizzate sul server (cri,ografia) oppure quando vengono inviate al browser (caching)
- 34.
- 35. tomcat tomcat on login page
- 36. <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <rolerolename="tomcat"/> <role rolename="role1"/> <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> </ tomcat-users> Tomcat tomcat-‐users.xml
- 37. A5. Security MisconfiguraOon Le vulnerabilità di questo Gpo insistono sulla configurazione e deployment di sistemi e/o applicazioni. L’impaQo varia secondo la problemaGca specifica, ad esempio di accedere alle interfacce di amministrazione tramite password di default. La responsabilità delle configurazioni è per alcuni aspeZ sistemisOca, per altri applicaOva; alcune configurazioni potrebbero inoltre dipendere da necessità applicaGve ma insistere sui sistemi.
- 38.
- 39.
- 40. A4. Insecure Direct Object Reference Le vulnerabilità di Gpo Insecure Direct Object Reference posso riguardare problemaGche di autorizzazione nei parametri di ingresso che, non controllando l’effeZvo possesso per l’autorizzazione di accesso, permeQono l’accesso ad oggeZ altrimenG non accessibili. Per ogni risorsa, bisogna definire se questa può essere accessibile da determinaG utenG (anche anonimi), e se si è autorizzaG alla visualizzazione. Spesso questo Gpo di controllo viene faQo tramite il principio della “sicurezza tramite segretezza”, pertanto conoscendo il valore del parametro è possibile accedervi.
- 41.
- 42. mulOple stored *** on a single page
- 43.
- 44. A3. Cross Site ScripOng (XSS) Le vulnerabilità di Gpo XSS si verificano quando daO non validaO vengono resGtuiG al browser, oppure memorizzaG dall’applicazione e resGtuiG in un secondo momento, permeQendo quindi di eseguire codice lato client all’interno del browser degli utenG. L’impaQo di queste vulnerabilità è spesso alto e permeQe di compromeQere gli utenG, oppure di eseguire dei defacement.
- 45.
- 47. POST /CubeCart-latest/admin.php? _g=maintenance/backup HTTP/1.1 Host:bld02 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryCpv +NVAHAgHHdvdI User-Agent: X_CLUSTER_CLIENT_IP: Cookie: ccAdmin=+ Accept: */*;q=0.5 Content-Length: 434 CubeCart 4
- 48. A2. Broken AuthenOcaOon and Session Management Le vulnerabilità di questo Gpo possono riguardare la gesOone della sessione o insistere sull’autenOcazione, permeQono di accedere all’applicazione con i permessi di altri utenG. AutenGcazione e Sessione sono argomenG correlaG. Una volta che l’utente si autenGca, viene idenGficato aQraverso l’id di sessione, che può essere soggeQo ad aQacchi di svariato Gpo, come anche le credenziali, la schermata di autenOcazione con i rispeZvi errori ed eventuali pagine che gesGscono le credenziali degli utenG, come la funzionalità di cambio password.
- 49.
- 51.
- 52. A1. InjecOon Le vulnerabilità di Gpo InjecGon si verificano quando daO non validaO vengono inviaG come parte di una richiesta verso un interprete, permeQendo di eseguire richieste o comandi normalmente non previsG dall’applicazione. L’impaQo di queste vulnerabilità è spesso alto e permeQe di compromeQere il sistema o i daG.
- 53. 2003/2004 (a,acks) 2007 (vulnerabiliOes) 2010 2013 Unvalidated Input Cross Site ScripOng (XSS) InjecOon InjecOon Broken Access Control InjecOon Flaws Cross-‐Site ScripOng (XSS) Broken AuthenOcaOon and Session Management Broken AuthenOcaOon and Session Management Malicious File ExecuOon Broken AuthenOcaOon and Session Management Cross-‐Site ScripOng (XSS) Cross Site ScripOng (XSS) Flaws Insecure Direct Object Reference Insecure Direct Object References Insecure Direct Object References Buffer Overflows Cross Site Request Forgery (CSRF)* Cross-‐Site Request Forgery (CSRF) Security MisconfiguraOon (risks) (risks) InformaOon Leakage and Security MisconfiguraOon Improper Error Handling SensiOve Data Exposure Improper Error Handling Broken AuthenOcaOon and Session Management Insecure Cryptographic Storage Missing FuncOon Level Access Control Insecure Storage Insecure Cryptographic Storage Failure to Restrict URL Access Cross-‐Site Request Forgery (CSRF) Denial of Service Insecure CommunicaOons Insufficient Transport Layer ProtecOon Using Known Vulnerable Components Insecure ConfiguraOon Management Failure to Restrict URL Access Unvalidated Redirects and Forwards Unvalidated Redirects and Forwards InjecOon Flaws
- 54.
- 56.
- 57.
- 58.