Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
Ultimamente il mercato dello sviluppo software, e contestualmente quello della sicurezza, si stanno focalizzando sulle applicazioni mobile. Come indicano il report XForce di IBM e il Melani del Governo Svizzero, tali applicazioni sono spesso bersaglio di attacchi. Non a caso OWASP ha stilato una TOP 10 per le applicazioni mobile. Ispirandosi ad OWASP e ai test svolti sul campo saranno presentate le maggiori problematiche e le soluzioni per rendere piu sicure le proprie applicazioni.
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
L'interesse per la Sicurezza delle Informazioni e della Sicurezza IT è in continua crescita. In un mondo dove l'informazione è una risorsa chiave della nostra vita lavorativa e non, la protezione delle informazioni e delle varie tecnologie che la gestiscono sono aspetti fondamentali. Dai tempi di "How to became a Hacker" e dell"Hacker's Manifesto", molti hacker diventano un consulenti che aiutano le organizzazione private e/o pubbliche Un mondo con diverse sfumature di grigio, questioni etiche e morali. Grazie anche all'influeza di film come Wargames o Matrix e telefilm come Mr. Robot, in molti sono interessati ad essere Security Consultant, Penetration Tester, Security Researcher (che non sono esattamente la stessa cosa). Il talk è una riflessione per destreggiarsi e ragionare su domande tipiche come: quali certificazioni? Quali corsi? Quali sono le competenze? L'approccio da usare? La strada da percorrere?
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
Ogni 3 anni l’OWASP aggiorna la TOP 10 delle vulnerabilità più comuni per le applicazioni Web. La TOP 10 di quest’anno contiene alcune interessanti novità.
Al primo posto rimangono sempre le vulnerabilità
di tipo Injection, seguite dalle problematiche nella Gestione della Sessione e nell’Autenticazione. Indietreggiano di una posizione i Cross Site Scripting.
Il talk, dopo una breve introduzione sulla TOP 10 e sugli
aggiornamenti, si pone lo scopo di descrivere con esempi pratici sia le varie vulnerabilità che i possibili rientri, in pieno spirito “think positive” promosso nella TOP 10 stessa.
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...Simone Onofri
Nella gestione dei progetti, le variabili da considerare, rappresentate nel "triangolo dei vincoli", sono Tempistiche, Costi, Qualità e Ambito.
L'approccio tradizionale tende a considerare l'Ambito è "intoccabile" e variabile la Qualità, Tempistiche e Costi. In caso di problemi si interviene allungando le Tempistiche, aumentando i Costi o diminuendo la Qualità. L'approccio Agile - e in particolare quello DSDM® derivato da RAD come anche Scrum - rende intoccabile la Qualità, le Tempistiche e i Costi, mentre è variabile l'Ambito.
Il framework Agile promosso dal DSDM® Consortium include due tecniche chiave per poter applicare nel pratico il concetto: il Timeboxing e la tecnica MoSCoW per la gestione delle priorità, anche se queste tecniche possono essere utilizzate a prescindere.
Il talk - dopo una breve introduzione - descriverà le differenze principali tra un approccio waterfall e agile, il Timeboxing e le tecnica MoSCoW per la gestione di tempistiche e requisiti.
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieSimone Onofri
L’intuizione è un aspetto fondamentale della mentalità hacker. L’hacker è un creativo alla continua ricerca di conoscenza. Uno spirito curioso che approfondisce per comprendere cosa c’è dietro la conoscenza stessa e cosa c’è ancora da scoprire. E’ attraverso un intuizione fulminante che l’hacker rompe questa barriera genera ulteriore conoscenza, genera nuovi collegamenti tra elementi noti – recuperando la definizione della creatività attribuita a Vilfredo Pareto - genera e crea nuova conoscenza, un nuovo software, una nuova idea…
Penetration Testing con Python - Network SnifferSimone Onofri
Una nota massima dice che "se ascolto dimentico, se vedo ricordo, se faccio capisco", il "fare", come lo scrivere codice e non usare strumenti già pronti è la chiave per essere un buon Penetration Tester. Non è un caso che Chris Miller dice che "la differenza stra uno script kiddies e i professionisti è la mera differenza tra chi usa strumenti di altri o i propri" Ovviamente questo presuppone una profonda conoscenza di quello che si sta facendo - una tecnica di attacco particolare, i protocolli utilizzati, dei sistemi, delle aplicazioni e così via. Quindi scrivere i propri strumenti è un modo di imparare realmente quello che accade sotto al "motore" di altri strumenti e come funzionano gli attacchi. Durante il talk vedremo in particolare i raw socket su linux e come scrivere uno sniffer.
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
Ultimamente il mercato dello sviluppo software, e contestualmente quello della sicurezza, si stanno focalizzando sulle applicazioni mobile. Come indicano il report XForce di IBM e il Melani del Governo Svizzero, tali applicazioni sono spesso bersaglio di attacchi. Non a caso OWASP ha stilato una TOP 10 per le applicazioni mobile. Ispirandosi ad OWASP e ai test svolti sul campo saranno presentate le maggiori problematiche e le soluzioni per rendere piu sicure le proprie applicazioni.
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
L'interesse per la Sicurezza delle Informazioni e della Sicurezza IT è in continua crescita. In un mondo dove l'informazione è una risorsa chiave della nostra vita lavorativa e non, la protezione delle informazioni e delle varie tecnologie che la gestiscono sono aspetti fondamentali. Dai tempi di "How to became a Hacker" e dell"Hacker's Manifesto", molti hacker diventano un consulenti che aiutano le organizzazione private e/o pubbliche Un mondo con diverse sfumature di grigio, questioni etiche e morali. Grazie anche all'influeza di film come Wargames o Matrix e telefilm come Mr. Robot, in molti sono interessati ad essere Security Consultant, Penetration Tester, Security Researcher (che non sono esattamente la stessa cosa). Il talk è una riflessione per destreggiarsi e ragionare su domande tipiche come: quali certificazioni? Quali corsi? Quali sono le competenze? L'approccio da usare? La strada da percorrere?
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
Ogni 3 anni l’OWASP aggiorna la TOP 10 delle vulnerabilità più comuni per le applicazioni Web. La TOP 10 di quest’anno contiene alcune interessanti novità.
Al primo posto rimangono sempre le vulnerabilità
di tipo Injection, seguite dalle problematiche nella Gestione della Sessione e nell’Autenticazione. Indietreggiano di una posizione i Cross Site Scripting.
Il talk, dopo una breve introduzione sulla TOP 10 e sugli
aggiornamenti, si pone lo scopo di descrivere con esempi pratici sia le varie vulnerabilità che i possibili rientri, in pieno spirito “think positive” promosso nella TOP 10 stessa.
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...Simone Onofri
Nella gestione dei progetti, le variabili da considerare, rappresentate nel "triangolo dei vincoli", sono Tempistiche, Costi, Qualità e Ambito.
L'approccio tradizionale tende a considerare l'Ambito è "intoccabile" e variabile la Qualità, Tempistiche e Costi. In caso di problemi si interviene allungando le Tempistiche, aumentando i Costi o diminuendo la Qualità. L'approccio Agile - e in particolare quello DSDM® derivato da RAD come anche Scrum - rende intoccabile la Qualità, le Tempistiche e i Costi, mentre è variabile l'Ambito.
Il framework Agile promosso dal DSDM® Consortium include due tecniche chiave per poter applicare nel pratico il concetto: il Timeboxing e la tecnica MoSCoW per la gestione delle priorità, anche se queste tecniche possono essere utilizzate a prescindere.
Il talk - dopo una breve introduzione - descriverà le differenze principali tra un approccio waterfall e agile, il Timeboxing e le tecnica MoSCoW per la gestione di tempistiche e requisiti.
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieSimone Onofri
L’intuizione è un aspetto fondamentale della mentalità hacker. L’hacker è un creativo alla continua ricerca di conoscenza. Uno spirito curioso che approfondisce per comprendere cosa c’è dietro la conoscenza stessa e cosa c’è ancora da scoprire. E’ attraverso un intuizione fulminante che l’hacker rompe questa barriera genera ulteriore conoscenza, genera nuovi collegamenti tra elementi noti – recuperando la definizione della creatività attribuita a Vilfredo Pareto - genera e crea nuova conoscenza, un nuovo software, una nuova idea…
Penetration Testing con Python - Network SnifferSimone Onofri
Una nota massima dice che "se ascolto dimentico, se vedo ricordo, se faccio capisco", il "fare", come lo scrivere codice e non usare strumenti già pronti è la chiave per essere un buon Penetration Tester. Non è un caso che Chris Miller dice che "la differenza stra uno script kiddies e i professionisti è la mera differenza tra chi usa strumenti di altri o i propri" Ovviamente questo presuppone una profonda conoscenza di quello che si sta facendo - una tecnica di attacco particolare, i protocolli utilizzati, dei sistemi, delle aplicazioni e così via. Quindi scrivere i propri strumenti è un modo di imparare realmente quello che accade sotto al "motore" di altri strumenti e come funzionano gli attacchi. Durante il talk vedremo in particolare i raw socket su linux e come scrivere uno sniffer.
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
Modulo Master in Sicurezza Informatica e Hacking
Standard OWASP TOP 10
SQL Injection
XSS
PDF Reverse Shell
Tools
Ringraziamenti a :
Simone Onofri (Moduli SQLi & XSS)
Avv. Pieluigi Perri (Introduzione)
Il Web del Futuro: RDFa per l organizzazione della conoscenza sul web - Web S...Simone Onofri
\"RDFa lets XHTML authors express this structured data using existing
XHTML attributes and a handful of new ones. Where data, such as a
photo caption, is already present on the page for human readers, the
author need not repeat it for automated processes to access it. A Web
publisher can easily reuse data fields\"
W3C - RDFa Primer
L\'avvento del fantomatico \"Web 2.0\" ha portato alla pubblicazione
incontrollata di contenuti. Informazioni sugli eventi, dati
geografici, contatti, amici e così via. Spesso questi contenuti sono
presenti su piattaforme esterne come Facebook, Google, MySpace,
Upcoming. Controllare ed esportare questi dati, anche solo per averne
una copia, senza parlare di Mashup, è un bisogno di molti. Entrando
poi nel mondo aziendale - o Enterprise, magari 2.0 - il controllo e la
riusabilità dei dati pubblicati su Web è fondamentale per generare
quel valore aggiunto tanto cercato nell\'intelligenza collettiva. RDFa
è la nuova tecnologia proposta dal World Wide Web Consortium (W3C) che
risolve questa situazione, unendo il Web Semantico al Web attuale -
passando così al Web 3.0 - rendendo semplice e immediato il riutilizzo
e l\'importazione dei dati.
HTML5 è lo standard futuro per lo sviluppo di applicazioni web e mobile che aggiunge molte funzionalità e potenzialità rispetto l'(X)HTML tradizionale. Se per gli sviluppatori sono aumentate le possibilità, In ambito Security aumenta la superficie attaccabile in particolare per gli attacchi lato client. Il talk si pone l'obiettivo di descrivere i nuovi vettori di attacco che insistono sulle API e funzionalità di HTML5.
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMSimone Onofri
Sicurezza è “protezione”, sintetizza il creatore dell’OSSTMM. Quando sviluppiamo applicazioni, i nostri “beni” vanno protetti dalle “minacce” tramite alcuni “controlli”. Il talk spiegherà, tramite un linguaggio semplice ed esempi, come proteggere le applicazioni Mobile e le varie componenti andando in profondità con l’approccio OSSTMM nei temi di OWASP e del Mobile: capire i controlli più efficaci e convenienti. Dopo una breve introduzione sull’OSSTMM verrà effettata la modellazione delle minacce su un tipico scenario mobile e quindi capire quali controlli applicare.
Il Web del Futuro - Progettare applicazioni con il Web SemanticoSimone Onofri
I think the Semantic Web is such a broad set of technologies and is going to do so many different things for different people. It is really difficult to put it on one thing.
Tim Berners-Lee
Come ci spiega Tim Berners-Lee, il Web Semantico è un insieme di tecnologie che possono essere utili in differenti modi e per applicazioni più varie. Dopo anni di sviluppo i tempi sono maturi. Per molti linguaggi di programmazione - tra cui PHP, Java, Ruby on Rails, Python e altri - sono disponibili framework open source che implementano tali tecnologie. E\' dunque utile comprenderle e capire come progettare le applicazioni semantiche del futuro, ottenendo molti vantaggi in fatto di standard, riusabilità e guadagno di tempo e risorse.
Durante il seminario, dopo una breve introduzione al Web Semantico, verrà analizzato come progettare applicazioni web che utilizzano RDF, RDFa, SPARQL, OWL, Storage Semantici e le altre tecnologie create dal World Wide Web Consortium per portare il Web al massimo del suo potenziale.
Owasp italy day sparql injection attacking triple store semantic web applicat...Simone Onofri
Era il gennaio 2008 quando il W3 quando una scintilla ha dato alla luce SPARQL - il linguaggio per interrogare RDF - una delle raccomandazioni più importanti per le attività legate al web semantico. Dopo pochi mesi, ad aprile dello stesso anno, viene presentata la prima ricerca sulle potenziali problematiche legate al linguaggio SPARQL. Come una SQL Injection permette di accedere a un Database, le SPARQL Injection permettono di accedere allo storage semantico, rientrando nei rischi di tipo “Injection” classificati nella OWASP TOP 10 2010.
Accessibilità dei Contenuti per il Web secondo il W3C: Introduzione alle WCAG...Simone Onofri
"Content is accessible when it may be used by someone with a
disability" dal Glossario WCAG
L'Accessibilità è un argomento attuale. Su Internet, come nella realtà, non mancano le barriere architettoniche, in questo caso digitali. Imparare a conoscerle e a rimuoverle aiuta non solo gli utenti che non sono in grado di vedere, ascoltare o muoversi ma tutta la comunità, per un esperienza più ampia di Internet. Il talk, totalmente dedicato alle Linee Guida WCAG 1.0, si propone come punto di riflessione sull'Accessibilità.
Strumenti e risorse attuali presenti sul Web utili per la PASimone Onofri
Il Web è più un innovazione sociale che un innovazione tecnica. L'ho progettato perchè avesse una ricaduta sociale, perchè aiutasse le persone a collaborare e per [...] migliorare la nostra esistenza.
Tim Berners-Lee, L'Architettura del Nuovo Web (1999)
Come ci spiega il suo creatore, il Web è stato progettato come innovazione sociale. E' dunque importante che la Pubblica Amministrazione, essendo una delle componenti trainanti della nostra Società, ne tragga i migliori benefici. Sul Web infatti disponiamo di applicazioni per creare e gestire documenti, presentazioni, rubriche, organizzare eventi e molto altro e utilizzare tali strumenti ha un duplice vantaggio. Da una parte si possono migliorare e ottimizzare i processi interni, dall'altra aumentare la visibilità del lavoro della Pubblica Amministrazione e l'interazione con il Cittadino, con un valore aggiunto per tutti.
Web Semantico: da XHTML a RDF in 3 clickSimone Onofri
Web Semantico: da XHTML a RDF in 3 click propone una via molto semplice per entrare nel Semantic Web senza fatica. Dopo una brevissima introduzione al concetto di Web Semantico vedremo come creare con un click un hCalendar (Microformat per gli eventi), convertirlo in RDF/XML tramite un XSL con GRDDL (una nuova tecnologia del W3C che permette di estrarre RDF) e utilizzare i dati ottenuti come desideriamo (Storage, Timeline, Grafo o altro).
Il Web del Futuro: Enterprise e Web SemanticoSimone Onofri
Social Network, Folksonomy, Wiki e User Generated Content sono le parole d'ordine di questa fase del Web e l’integrazione di tali strumenti con quelli gia presenti in azienda come CRM, Calendari, Rubriche, Gestione Progetti apre nuovi sviluppi e possibilità per l’azienda stessa. In tale scenario, definito come Enterprise 2.0, l'interoperabilità e l'integrazione dei dati provenienti da fonti differenti è garantita dal Web Semantico e dagli standard aperti.
Durante il Seminario verranno illustrate tali potenzialità sia dal punto di vista tecnico che di visioning. Esempi pratici e informazioni riguardo gli strumenti gratuiti disponibili forniranno agli interessati le risorse e punti di riferimento per implementare tali soluzioni.
Il Web Del Futuro Visioni E Idee Sul Web SemanticoSimone Onofri
"The Web was designed as an information space, with the goal that it should be useful not only for human-human communication, but also that machines would be able to participate and help".
Tim Berners-Lee, ideatore del Web, ci spiega che il WWW non è solo comunicazione tra umani e che, per molte operazioni, le macchine possono venirci in aiuto e lavorare al posto nostro. Questo è possibile con il Web Semantico: una rete di metadati comprensibili alle macchine ed elaborabili in modo automatico utilizzando la logica. Non solo facendoci risparmiare e guadagnare tempo, ma aprendo anche infinite possibilità e sviluppi in questo " Oceano Blu " - per citare Kim W. Chan e Mauborgne Renée - in quanto è un mondo molto legato alla Ricerca e lascia molto spazio agli infiniti sviluppi. Durante il seminario, dopo una breve introduzione al concetto di Web Semantico, vedremo le sue applicazioni, le possibilità e quanto sia facile e conveniente entrare nel Web del futuro - oltre il Web 2.0 - svelando i segreti di Resource Description Framework (RDF), Gleaning Resource Description from Dialects of Languages (GRDDL), Friend Of A Friend (FOAF), Description Of A Project (DOAP), Semantically Interlinked Online Communities (SIOC), Dublin Core (DC), Microformats e molto altro.
Gli HTTP Security Header e altri elementi da sapere su HTTP in un Web Applica...Simone Onofri
Negli ultimi anni la disponibilità di Browser sempre più avanzati e le grandi capacità di calcolo dei Client hanno portato all’attenzione della comunità di sicurezza una serie di attacchi o tecniche che hanno come bersaglio principale l’utente dell’applicazione. I vendor e organizzazioni come IEFT e W3C hanno considerato opportuna l’implementazione di alcune protezioni attivabili tramite Header HTTP.
Gli header devono essere configurati per non rilasciare le informazioni, ottimizzare cache e codifica. Di contro manipolando direttamente i pacchetti HTTP è possibile alterare anche le risposte dell’applicazione o il suo funzionamento. Durate il talk analizzeremo attacchi come l’UI Redressing / HTTP Response Splitting, HTTP Verb Tampering e molto altro.
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
La Cyber Security è una problematica sempre più attuale. Il problema non è tanto capire SE ci sarà un attacco ma COME sarà eseguito e quindi COSA fare per difenderci. Che siamo singole persone, piccoli imprenditori, grandi aziende o Pubbliche Amministrazioni siamo sempre dei bersagli. Anche un attacco da un costo esiguo può portare ingenti perdite e impatti disastrosi. Come prevenire questi attacchi e, se accadono, come possiamo reagire per limitare il danno?
Dopo una breve descrizione delle ultime tendenze in fatto di Cyber Crime saranno analizzati diversi casi reali come quello di Sony - dove sono stati rubati 100 Terabyte di dati tra cui 5 film inediti e i dati dei dipendenti che hanno dovuto loro stessi reagire a questo attacco - e di Carbanak - dove è stato stimato un furto dai 500 milioni di euro a circa 1 miliardo - per comprendere come sarebbe stato possibile prevenire o limitare i danni. Una sezione sarà dedicata alla problematica del Phishing che diventa sempre più difficile da identificare e che spesso è il primo passo verso una compromissione persistente (Advanced Persistent Threat - APT).
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
Modulo Master in Sicurezza Informatica e Hacking
Standard OWASP TOP 10
SQL Injection
XSS
PDF Reverse Shell
Tools
Ringraziamenti a :
Simone Onofri (Moduli SQLi & XSS)
Avv. Pieluigi Perri (Introduzione)
Il Web del Futuro: RDFa per l organizzazione della conoscenza sul web - Web S...Simone Onofri
\"RDFa lets XHTML authors express this structured data using existing
XHTML attributes and a handful of new ones. Where data, such as a
photo caption, is already present on the page for human readers, the
author need not repeat it for automated processes to access it. A Web
publisher can easily reuse data fields\"
W3C - RDFa Primer
L\'avvento del fantomatico \"Web 2.0\" ha portato alla pubblicazione
incontrollata di contenuti. Informazioni sugli eventi, dati
geografici, contatti, amici e così via. Spesso questi contenuti sono
presenti su piattaforme esterne come Facebook, Google, MySpace,
Upcoming. Controllare ed esportare questi dati, anche solo per averne
una copia, senza parlare di Mashup, è un bisogno di molti. Entrando
poi nel mondo aziendale - o Enterprise, magari 2.0 - il controllo e la
riusabilità dei dati pubblicati su Web è fondamentale per generare
quel valore aggiunto tanto cercato nell\'intelligenza collettiva. RDFa
è la nuova tecnologia proposta dal World Wide Web Consortium (W3C) che
risolve questa situazione, unendo il Web Semantico al Web attuale -
passando così al Web 3.0 - rendendo semplice e immediato il riutilizzo
e l\'importazione dei dati.
HTML5 è lo standard futuro per lo sviluppo di applicazioni web e mobile che aggiunge molte funzionalità e potenzialità rispetto l'(X)HTML tradizionale. Se per gli sviluppatori sono aumentate le possibilità, In ambito Security aumenta la superficie attaccabile in particolare per gli attacchi lato client. Il talk si pone l'obiettivo di descrivere i nuovi vettori di attacco che insistono sulle API e funzionalità di HTML5.
Hackers vs developers: progettere le applicazioni mobile tra OWASP e OSSTMMSimone Onofri
Sicurezza è “protezione”, sintetizza il creatore dell’OSSTMM. Quando sviluppiamo applicazioni, i nostri “beni” vanno protetti dalle “minacce” tramite alcuni “controlli”. Il talk spiegherà, tramite un linguaggio semplice ed esempi, come proteggere le applicazioni Mobile e le varie componenti andando in profondità con l’approccio OSSTMM nei temi di OWASP e del Mobile: capire i controlli più efficaci e convenienti. Dopo una breve introduzione sull’OSSTMM verrà effettata la modellazione delle minacce su un tipico scenario mobile e quindi capire quali controlli applicare.
Il Web del Futuro - Progettare applicazioni con il Web SemanticoSimone Onofri
I think the Semantic Web is such a broad set of technologies and is going to do so many different things for different people. It is really difficult to put it on one thing.
Tim Berners-Lee
Come ci spiega Tim Berners-Lee, il Web Semantico è un insieme di tecnologie che possono essere utili in differenti modi e per applicazioni più varie. Dopo anni di sviluppo i tempi sono maturi. Per molti linguaggi di programmazione - tra cui PHP, Java, Ruby on Rails, Python e altri - sono disponibili framework open source che implementano tali tecnologie. E\' dunque utile comprenderle e capire come progettare le applicazioni semantiche del futuro, ottenendo molti vantaggi in fatto di standard, riusabilità e guadagno di tempo e risorse.
Durante il seminario, dopo una breve introduzione al Web Semantico, verrà analizzato come progettare applicazioni web che utilizzano RDF, RDFa, SPARQL, OWL, Storage Semantici e le altre tecnologie create dal World Wide Web Consortium per portare il Web al massimo del suo potenziale.
Owasp italy day sparql injection attacking triple store semantic web applicat...Simone Onofri
Era il gennaio 2008 quando il W3 quando una scintilla ha dato alla luce SPARQL - il linguaggio per interrogare RDF - una delle raccomandazioni più importanti per le attività legate al web semantico. Dopo pochi mesi, ad aprile dello stesso anno, viene presentata la prima ricerca sulle potenziali problematiche legate al linguaggio SPARQL. Come una SQL Injection permette di accedere a un Database, le SPARQL Injection permettono di accedere allo storage semantico, rientrando nei rischi di tipo “Injection” classificati nella OWASP TOP 10 2010.
Accessibilità dei Contenuti per il Web secondo il W3C: Introduzione alle WCAG...Simone Onofri
"Content is accessible when it may be used by someone with a
disability" dal Glossario WCAG
L'Accessibilità è un argomento attuale. Su Internet, come nella realtà, non mancano le barriere architettoniche, in questo caso digitali. Imparare a conoscerle e a rimuoverle aiuta non solo gli utenti che non sono in grado di vedere, ascoltare o muoversi ma tutta la comunità, per un esperienza più ampia di Internet. Il talk, totalmente dedicato alle Linee Guida WCAG 1.0, si propone come punto di riflessione sull'Accessibilità.
Strumenti e risorse attuali presenti sul Web utili per la PASimone Onofri
Il Web è più un innovazione sociale che un innovazione tecnica. L'ho progettato perchè avesse una ricaduta sociale, perchè aiutasse le persone a collaborare e per [...] migliorare la nostra esistenza.
Tim Berners-Lee, L'Architettura del Nuovo Web (1999)
Come ci spiega il suo creatore, il Web è stato progettato come innovazione sociale. E' dunque importante che la Pubblica Amministrazione, essendo una delle componenti trainanti della nostra Società, ne tragga i migliori benefici. Sul Web infatti disponiamo di applicazioni per creare e gestire documenti, presentazioni, rubriche, organizzare eventi e molto altro e utilizzare tali strumenti ha un duplice vantaggio. Da una parte si possono migliorare e ottimizzare i processi interni, dall'altra aumentare la visibilità del lavoro della Pubblica Amministrazione e l'interazione con il Cittadino, con un valore aggiunto per tutti.
Web Semantico: da XHTML a RDF in 3 clickSimone Onofri
Web Semantico: da XHTML a RDF in 3 click propone una via molto semplice per entrare nel Semantic Web senza fatica. Dopo una brevissima introduzione al concetto di Web Semantico vedremo come creare con un click un hCalendar (Microformat per gli eventi), convertirlo in RDF/XML tramite un XSL con GRDDL (una nuova tecnologia del W3C che permette di estrarre RDF) e utilizzare i dati ottenuti come desideriamo (Storage, Timeline, Grafo o altro).
Il Web del Futuro: Enterprise e Web SemanticoSimone Onofri
Social Network, Folksonomy, Wiki e User Generated Content sono le parole d'ordine di questa fase del Web e l’integrazione di tali strumenti con quelli gia presenti in azienda come CRM, Calendari, Rubriche, Gestione Progetti apre nuovi sviluppi e possibilità per l’azienda stessa. In tale scenario, definito come Enterprise 2.0, l'interoperabilità e l'integrazione dei dati provenienti da fonti differenti è garantita dal Web Semantico e dagli standard aperti.
Durante il Seminario verranno illustrate tali potenzialità sia dal punto di vista tecnico che di visioning. Esempi pratici e informazioni riguardo gli strumenti gratuiti disponibili forniranno agli interessati le risorse e punti di riferimento per implementare tali soluzioni.
Il Web Del Futuro Visioni E Idee Sul Web SemanticoSimone Onofri
"The Web was designed as an information space, with the goal that it should be useful not only for human-human communication, but also that machines would be able to participate and help".
Tim Berners-Lee, ideatore del Web, ci spiega che il WWW non è solo comunicazione tra umani e che, per molte operazioni, le macchine possono venirci in aiuto e lavorare al posto nostro. Questo è possibile con il Web Semantico: una rete di metadati comprensibili alle macchine ed elaborabili in modo automatico utilizzando la logica. Non solo facendoci risparmiare e guadagnare tempo, ma aprendo anche infinite possibilità e sviluppi in questo " Oceano Blu " - per citare Kim W. Chan e Mauborgne Renée - in quanto è un mondo molto legato alla Ricerca e lascia molto spazio agli infiniti sviluppi. Durante il seminario, dopo una breve introduzione al concetto di Web Semantico, vedremo le sue applicazioni, le possibilità e quanto sia facile e conveniente entrare nel Web del futuro - oltre il Web 2.0 - svelando i segreti di Resource Description Framework (RDF), Gleaning Resource Description from Dialects of Languages (GRDDL), Friend Of A Friend (FOAF), Description Of A Project (DOAP), Semantically Interlinked Online Communities (SIOC), Dublin Core (DC), Microformats e molto altro.
Gli HTTP Security Header e altri elementi da sapere su HTTP in un Web Applica...Simone Onofri
Negli ultimi anni la disponibilità di Browser sempre più avanzati e le grandi capacità di calcolo dei Client hanno portato all’attenzione della comunità di sicurezza una serie di attacchi o tecniche che hanno come bersaglio principale l’utente dell’applicazione. I vendor e organizzazioni come IEFT e W3C hanno considerato opportuna l’implementazione di alcune protezioni attivabili tramite Header HTTP.
Gli header devono essere configurati per non rilasciare le informazioni, ottimizzare cache e codifica. Di contro manipolando direttamente i pacchetti HTTP è possibile alterare anche le risposte dell’applicazione o il suo funzionamento. Durate il talk analizzeremo attacchi come l’UI Redressing / HTTP Response Splitting, HTTP Verb Tampering e molto altro.
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
La Cyber Security è una problematica sempre più attuale. Il problema non è tanto capire SE ci sarà un attacco ma COME sarà eseguito e quindi COSA fare per difenderci. Che siamo singole persone, piccoli imprenditori, grandi aziende o Pubbliche Amministrazioni siamo sempre dei bersagli. Anche un attacco da un costo esiguo può portare ingenti perdite e impatti disastrosi. Come prevenire questi attacchi e, se accadono, come possiamo reagire per limitare il danno?
Dopo una breve descrizione delle ultime tendenze in fatto di Cyber Crime saranno analizzati diversi casi reali come quello di Sony - dove sono stati rubati 100 Terabyte di dati tra cui 5 film inediti e i dati dei dipendenti che hanno dovuto loro stessi reagire a questo attacco - e di Carbanak - dove è stato stimato un furto dai 500 milioni di euro a circa 1 miliardo - per comprendere come sarebbe stato possibile prevenire o limitare i danni. Una sezione sarà dedicata alla problematica del Phishing che diventa sempre più difficile da identificare e che spesso è il primo passo verso una compromissione persistente (Advanced Persistent Threat - APT).
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaSimone Onofri
E’ da poco stata pubblicata la nuova versione della OWASP Testing Guide che – nella versione 4 – aggiorna, amplia e completa la versione precedente. Comprende inoltre tre paragrafi specifici per i test dei Cross Site Scripting e altri che comprendono impatti simili. Non è un caso che nella TOP 10 2013 troviamo il Cross Site Scripting al terzo posto. Durante il talk ci focalizzeremo sul Cross Site Scripting e quali sono i vari metodi di attacco e difesa di questa vulneraiblità che – spesso sottovalutata – può portare anche al defacement di un sito web.
In data Mercoledì 13 Giugno 2012 in aula 4, dalle 9:00 alle 10:30,il dott. Alessandro Forte della T.&C. Systems Group s.r.l. ha tenuto un seminario sull'Object-Relational Mapping.
Il dott. Forte è attualmente SW Architect per la T.&C. Systems Group s.r.l. e speaker certificato Microsoft Italia.
Si è trattato di un'importante occasione per affacciarsi a nuovi argomenti di interesse del mondo produttivo e allo stesso tempo entrare in contatto con una società attiva sul territorio. Si ringrazia il prof. Antonio Maratea per l'occasione concessa e la disponibilità dimostrata.
In questo corso scopriremo cosa sono le SQL Injection, attacchi e rimedi. Vedremo anche sqlmap, uno strumento che ci permette di eseguire attacchi in modo automatizzato per aiutarci a individuare falle nelle nostre Web Application
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
In questa presentazione viene descritto un possibile approccio alla messa insicurezza di codice legacy attraverso l'utilizzo di svariati progetti OWASP.
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Simone Onofri
After web 1.0 and web 2.0, web3 has arrived! After a brief introduction, where we will look at the evolution of the web and what has changed as far as security is concerned, we will dive into blockchain to understand how to attack Smart Contracts on Ethereum, how these intersect with more classic vulnerabilities, and what are the main vulnerabilities we can find in contracts written in Solidity.
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentSimone Onofri
This presentation dives deep into the security of Ethereum Smart Contracts written in Solidity, shedding light on common vulnerabilities. Inspired by the newly released OWASP Blockchain Top 10, the presentation will focus on famous vulnerabilities by examples.
After a brief introduction to Ethereum Blockchain and Solidity, the presentation will describe a systematic approach that includes source code analysis, dissecting real-world incidents, reverse-engineer the code of attacked contracts to reveal their inner workings, and use some vulnerable contracts to demonstrate these vulnerabilities interactively and engagingly, providing a practical understanding of issues such as Reentrancy, Arithmetic vulnerabilities, DoS attacks, and insecure randomness.
This talk aims to equip developers, security analysts, and blockchain enthusiasts with the knowledge to build more secure smart contracts. By understanding these security risks, participants will be better prepared to anticipate, identify, and mitigate potential threats, fostering a safer web3 environment.
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Simone Onofri
Agile è una filosofia e un modo di lavorare particolarmente adatto al mondo attuale dove i cambiamenti sono all'ordine del giorno. E' possibile capire a fondo i principi di Agile Project Management giocando, attraverso LEGO SERIOUS PLAY.
Workshop su Agile Project Framework e Agile PM per il PMI®-NIC Branch Lombardia. Cosa è Agile, l'Agile Project Framework e Agile Project Management e le tecniche MoScoW e il Timeboxing. Come si struttura un Team Agile.
Agile nei servizi di cyber security (Security Summit Edition)Simone Onofri
Nello scenario attuale Agile è una delle carte vincenti per offrire ai propri Clienti servizi di Cyber Security che generano il loro valore in poco tempo. Durante lo speech, dopo una breve introduzione, sarà descritta - tramite esempi e casi reali - la metodologia utilizzata in un contesto internazionale per i progetti di Security Testing ed Ethical Hacking.
Cyber Defense - How to be prepared to APTSimone Onofri
This document provides an overview of a presentation on cyber defense and cyber attack simulations. It begins with an agenda and introductions. It then discusses the evolving threats landscape, with attacks increasing in scale, scope and sophistication. It outlines the cyber attack simulation methodology, including researching the target, infiltrating networks, establishing footholds, moving laterally and exfiltrating data. It describes three scenario examples - a web attack, phishing email, and exploiting physical access. Each scenario provides the rules of engagement, attack overview and lessons learned. It concludes with quotes emphasizing the importance of preparation and deception in warfare.
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...Simone Onofri
This document discusses how to take an agile approach to security project management and testing. It defines agile as an iterative approach where requirements and solutions evolve through collaboration. The key aspects of agile security project management covered are:
- Using agile techniques like planning poker, timeboxing, and MoSCoW prioritization to plan and manage security testing projects.
- Integrating security testing into the agile software development lifecycle through techniques like defining security acceptance criteria, implementing "evil user stories", and pairing programmers with security experts.
- Managing vulnerabilities found during testing through techniques like blocking work items in a kanban board until vulnerabilities are retested and resolved.
The document provides examples and tips
This document discusses ORM injection vulnerabilities using Hibernate and MySQL as an example. It begins with an introduction to injection vulnerabilities and ORM concepts. It then demonstrates how SQL injection is possible by exploiting differences in escaping rules between HQL and MySQL. A proof of concept shows injecting HQL to retrieve all records, and injecting SQL directly by escaping quotes differently. The document concludes that input validation and parameterized queries are needed to prevent ORM injection, and frameworks may not fully prevent injection depending on the underlying database.
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...Simone Onofri
If you are Agile or Traditional, or a mix of two, you cannot survive without (engaging) your stakeholder. After a “big picture view” on how stakeholders can be managed referring in Traditional Management and how this is vital in the Agile approach.
“Da un grande potere derivano grandi responsabilità”, ci ricordano le parole di un grande supereroe. Allora, considerato che Magento è uno dei sistemi di eCommerce più utilizzati in tutto il mondo, è essenziale assumersi ogni responsabilità rispetto agli aspetti di sicurezza che, se trascurati, possono portare ingenti danni.
Durante il talk, Simone Onofri illustrerà le principali vulnerabilità, utilizzando la OWASP TOP 10 2013 e specifici esempi sull’ecosistema di Magento per imparare assieme come rendere sicura la propria installazione di Magento o il proprio Plugin.
7. Web
e
SQL
Injec4on
Tecnicamente
le
prime
SQL
InjecDon
hanno
cominciato
ad
essere
presenD
sul
web
da
quando
i
vari
interpreD
hanno
permesso
alle
pagine
web
di
mostrare
daD
collegandosi
ai
database
e
quindi
mostrarne
i
daD.
Pensiamo
a
PHP
(1995)
e
ad
ASP
(1996).
8. La
prima
famosa
SQL
Injec4on
Risale
al
1998
da
un
arDcolo
firmato
da
Rain
Forest
Puppy
su
Phrack
“NT
Web
Technology
VulnerabiliDes”
che
conDene
diverse
vulnerabilità
che
dipendono
dalle
tecnologie
Web.
SELECT * FROM table WHERE x=1
SELECT * FROM table WHERE y=5
9. La
risposta
alla
prima
famosa
SQL
Injec4on
“Secondo
loro
(il
vendor)
quello
di
cui
sDamo
per
parlare
non
è
un
problema”
—
Rain
Forest
Puppy
-‐
Phrack
Issue
#54
10. La
famosa
raccomandazione
“Non
date
per
scontato
che
l’input
dell’utente
sia
ok
quando
(lo
inserite)
in
query
SQL”
—
Rain
Forest
Puppy
-‐
Phrack
Issue
#54
11. 2003/2004
(a;acks)
2007
(vulnerabili4es)
2010
(risks)
2013
(risks)
Unvalidated
Input Cross
Site
Scrip4ng
(XSS) Injec4on Injec4on
Broken
Access
Control Injec4on
Flaws Cross-‐Site
Scrip4ng
(XSS)
Broken
Authen4ca4on
and
Session
Management
Broken
Authen4ca4on
and
Session
Management
Malicious
File
Execu4on
Broken
Authen4ca4on
and
Session
Management
Cross-‐Site
Scrip4ng
(XSS)
Cross
Site
Scrip4ng
(XSS)
Flaws
Insecure
Direct
Object
Reference
Insecure
Direct
Object
References
Insecure
Direct
Object
References
Buffer
Overflows
Cross
Site
Request
Forgery
(CSRF)*
Cross-‐Site
Request
Forgery
(CSRF)
Security
Misconfigura4on
Injec4on
Flaws
Informa4on
Leakage
and
Improper
Error
Handling
Security
Misconfigura4on Sensi4ve
Data
Exposure
Improper
Error
Handling
Broken
Authen4ca4on
and
Session
Management
Insecure
Cryptographic
Storage
Missing
Func4on
Level
Access
Control
Insecure
Storage
Insecure
Cryptographic
Storage
Failure
to
Restrict
URL
Access
Cross-‐Site
Request
Forgery
(CSRF)
Denial
of
Service Insecure
Communica4ons
Insufficient
Transport
Layer
Protec4on
Using
Known
Vulnerable
Components
Insecure
Configura4on
Management
Failure
to
Restrict
URL
Access
Unvalidated
Redirects
and
Forwards
Unvalidated
Redirects
and
Forwards
13. E’
stata
compromessa
(almeno
per
la
terza
volta
negli
ulDmi
anni)
l’azienda
di
Telecomunicazioni
Pakistana,
controllata
dallo
stato,
tramite
una
SQL
Injec4on
14. Cosa
dicono
i
trend
sulla
sicurezza?
“gli
aZaccanD
tendono
a
sfruZare
vulnerabilità
che
sono
presenD
a
causa
di
pra4che
di
sicurezza
basilari
inadeguate”
—
Rapporto
Melani
16. Cosa
sono
i
database
relazionali?
I
database
o
basi
di
daD
sono
degli
archivi
organizzaD
tramite
delle
relazioni.
I
daD
sono
contenuD
all’interno
di
alcune
tabelle
che
hanno
delle
intestazioni
(campi)
in
cui
i
daD
sono
organizzaD
in
delle
righe
(o
record).
17. Cos’è
SQL?
SQL
(Structured
Query
Language)
è
un
linguaggio
struZurato
per
eseguire
interrogazioni
a
un
database
relazionale.
Possiamo
avere
una
serie
di
query
esempio
per
richiedere
dei
daD
(SELECT),
inserirli
(INSERT),
aggiornarli
(UPDATE)
e
cancellarli
(DELETE).
Altri
4pi
di
query
servono
per
creare
o
cancellare
database,
utenD,
tabelle
o
sono
comandi
come
es.
per
spegnere
il
database.
19. Perchè
devo
sapere
queste
cose?
Per
eseguire
delle
SQL
InjecDon
è
necessaria
una
conoscenza
approfondita
di
SQL,
dei
database
e
più
nello
specifico
del
linguaggio
supportato
dal
database
uDlizzato
dall’applicazione
che
sDamo
aZaccando.
22. Authen4ca4on
Bypass
by
SQL
Injec4on
• E’
un
Dpico
aZacco
“vecchio
sDle”.
• Non
è
ovviamente
sempre
possibile,
dipende
da
come
è
scriZa
la
query
che
verifica
l’autenDcazione.
• L’impaZo
è
estremamente
criDco,
è
infa`
possibile
personificare
gli
utenD.
23. Come
funziona?
• AnzituZo
è
fondamentale
capire
la
query
che
è
“dietro”
la
richiesta.
• Tipicamente
la
pagina
di
login
è
qualche
cosa
come:
• SELECT
*
FROM
users
WHERE
use_name
=
‘simone’
AND
use_password
=
“pwd”;
• Che
cerca
una
corrispondenza
tra
il
nome
utente
e
la
password
inserita
tramite
GET/POST.
• Se
inseriamo
quindi
come
username:
• simone’—
• La
query
sarà:
• SELECT
*
FROM
users
WHERE
use_name
=
‘simone’—
‘AND
use_password
=
“pwd”
• Quindi
viene
verificato
solo
se
l’utente
esiste
o
meno.
24. Come
funziona?
• Se
però
non
conosciamo
lo
username,
al
neZo
di
quelli
Dpici
come
“admin”,
“administrator”,
o
se
si
uDlizza
un
CMS
basta
andare
a
cercare
la
documentazione,
come
fare?
• E’
possibile
usare
‘
OR
1=1—
o
comunque
generare
una
condizione
logica
che
sia
sempre
vera.
• Cosa
succede
quindi?
il
database
seleziona
tuZo
il
contenuto
della
tabella
users
trovando
sicuramente
almeno
una
corrispondenza.
25. Avvertenze
• A;enzione:
quando
fate
le
prove
con
OR
1=1,
se
ci
sono
molD
record
nella
tabella
è
possibile
che
il
server
impieghi
molto
tempo
a
rispondere,
oppure
potrebbe
andare
in
Dmeout,
è
consigliabile
uDlizzare
una
strategia
del
Dpo
AND
1=1
e
AND
1=0
quindi
condizioni
logiche
sempre
vere
o
sempre
false
che
però
fanno
tornare
meno
record.
• Nota:
nell’esempio
precedente
abbiamo
visto
come
-‐
probabilmente
-‐
la
password
sia
in
chiaro
(MALE),
quando
si
cerca
il
bypass
infa`
è
più
probabile
trovare
una
SQL
InjecDon
nello
username.
• Perché
tuZo
questo
probabile?
Ogni
applicazione
è
diversa.
27. Quando
si
verificano
le
SQL
Injec4on
Le
vulnerabilità
di
Dpo
InjecDon
si
verificano
quando
da4
non
valida4
vengono
inviaD
come
parte
di
una
richiesta
verso
un
interprete,
permeZendo
di
eseguire
richieste
o
comandi
normalmente
non
previsD
dall’applicazione.
L’impaZo
di
queste
vulnerabilità
è
spesso
alto
e
permeZe
di
compromeZere
il
sistema
o
i
daD.
28. Consigli
sulle
SQL
Injec4on
•Fai
il
reverse
engineering
della
query
•Capisci
il
linguaggio
dell’interprete
•Comprendi
la
logica
•Sii
creaDvo/a
29. Passo
dopo
passo
(come
ispirazione)
1.Verifica
il
Dpo
di
dato
che
l’applicazione
si
aspeZa
(es.
numero,
stringa,
data,
uuid
ecc..).
2.Cerca
di
capire
e
“rompere”
la
query
uDlizzando
caraZeri
Dpici
dei
delimitatori
(es.
‘,
’’,
“),
numeri
posiDvi
e
negaDvi,
aZenzione
ai
LIKE
e
alle
date.
3.IdenDfica
le
differenze
nelle
risposte
(es.
daD
caricaD,
errori,
pagine
bianche).
30. Esempio
•Applicazione
che
visualizza
le
noDzie:
•hZp://www.example.com/news.php?id=123
•Solitamente
le
query
in
questo
caso
sono:
•SELECT
*
FROM
news
WHERE
new_id
=
$param
AND
new_published
=
1
•Un
primo
test
può
essere:
•OR
1=1—,
ma
aZenzione
ai
DoS
•AND
1=1—
e
AND
1=0—
valutando
la
differenza
nelle
risposte
•Dato
che
è
un
numero
supponiamo
non
siano
necessarie
delle
parentesi,
ma
dobbiamo
considerare
che
se
la
query
è
complessa
possiamo
lasciare
aperte
es.
delle
parentesi.
32. Fingerprin4ng
e
Reverse
Engineering
Una
volta
idenDficata
la
presenza
potenziale
di
una
SQL
InjecDon
è
necessario
verificarla
e
quindi
sfruZarla.
E’
di
cruciale
importanza
capire
almeno:
•Il
4po
di
dato
che
sDamo
manipolando
•Il
4po
di
query
dove
siamo
dentro
•Dove
siamo
nella
query
•Il
Dpo
di
database
33. Capire
il
4po
di
dato
•Lo
possiamo
valutare
navigando
nell’applicazione
e
vedendo
quali
sono
i
daD
che
normalmente
l’applicazione
si
aspeZa,
Dpicamente:
•Numeri
•Stringhe
•Date
•IdenDficaDvi
34. Capire
il
4po
di
query
Anche
in
questo
caso
il
contesto
applicaDvo
è
importante.
SDamo:
•Visualizzando
dei
daD?
>
SELECT
•Modificando/Aggiornando
dei
daD?
>
UPDATE
•Cancellando
dei
daD?
>
DELETE
A"enzione
a
query
mul0ple
eseguite
dalla
stessa
pagina
35. Capire
dove
siamo
nella
query
Consideriamo
sempre
che
possiamo
essere
in
più
punD
della
query,
quindi
la
nostra
manipolazione
può
avere
effe`
differenD.
SELECT
*
FROM
tabella
WHERE
campo
=
valore
ORDER
BY
campo
36. Capire
il
4po
di
database
Passo
non
poco
difficile
è
capire
il
Dpo
di
database
(es.
Microsow,
Oracle,
Postgre,
DB2…)
e
la
sua
versione
specifica,
in
quanto
alcune
funzionalità
sono
previste
solo
per
determinate
versioni.
Un
piccolo
cheatsheet:
• Concatenare
le
stringhe:
• Oracle:
‘||’FOO
• MsSQL:
‘+’FOO
• MySQL:
‘
‘FOO
• Calcoli
sui
numeri:
• Oracle:
BITAND(1,1)-‐BITAND(1,1)
• MS-‐SQL:
@@PACK_RECEIVED-‐@@PACK_RECEIVED
• MySQL:
CONNECTION_ID()-‐CONNECTION_ID()
• Commen4
di
MySQL:
• Se
MySQL
trova
questo
commento
/*!32302
and
1=0*/
lo
eseguirà
solo
se
la
sua
versione
è
maggiore
o
uguale
alla
3.23.02
38. Come
sfru;are
le
vulnerabilità
Una
volta
oZenute
le
informazioni
sulla
query
e
sul
database
possiamo
procedere
con
lo
sfruZamento.
E’
possibile
uDlizzare
differenD
tecniche
secondo
il
contesto:
In
alcuni
casi
l’errore
SQL
è
visibile,
il
che
semplifica
molto
il
lavoro.
In
altri
casi
dobbiamo
capire
l’esito
delle
nostre
richieste
capendo
quando
l’applicazione:
•Esegue
il
nostro
codice,
inserendo
delle
condizioni
di
vero
o
falso
(seleziona
solo
alcuni
daD)
•La
query
non
è
correZa
(es.
WSOD)
39. Errori
4pici
•ORA-‐01756:
quoted
string
not
properly
terminated
•You
have
an
error
in
your
SQL
syntax;
check
the
manual
that
corresponds
to
your
MariaDB
server
version
for
the
right
syntax
to
use
near
‘'
•Error:
You
have
an
error
in
your
SQL
syntax;
check
the
manual
that
corresponds
to
your
MySQL
server
version
for
the
right
syntax
to
use
near
'''
at
line
•Unclosed
quotaDon
mark
awer
the
character
string
''.
40. La
tecnica
UNION
•La
UNION
è
una
delle
tecniche
più
comuni
per
l’estrazione
di
daD.
•L’operatore
UNION
è
uDlizzato
per
combinare
i
risultaD
di
più
query:
la
prima
è
quella
inclusa
dall’applicazione,
la
seconda
è
quella
da
cui
vogliamo
estrarre
i
daD.
•Quando
facciamo
una
UNION
dobbiamo
considerare
che:
•Le
due
query
devono
avere
lo
stesso
numero
di
colonne
(es.
ORA-‐01789:
query
block
has
incorrect
number
of
result
columns)
•Le
colonne
nella
stessa
posizione
devono
essere
dello
stesso
Dpo
o
uno
compaDbile.
(es.
ORA-‐01790:
expression
must
have
same
datatype
as
corresponding
expression).
NULL
è
spesso
nostro
amico
•Dobbiamo
conoscere
almeno
il
nome
di
una
tabella
(ecco
anche
perchè
facciamo
il
fingerprinDng).
41. Come
fare?
•Trova
il
nome
di
una
tabella
che
esiste
e
cui
hai
accesso
(es.
DUAL
in
Oracle
o
anche
nulla
in
MS-‐SQL)
•Capisci
il
numero
di
colonne:
•‘
UNION
SELECT
NULL—
•‘
UNION
SELECT
NULL,
NULL—
•‘
UNION
SELECT
NULL,
NULL,
NULL—
•Trova
almeno
un
Dpo
di
dato
come
stringa
•‘
UNION
SELECT
‘a’,
NULL,
NULL—
•Estrai
le
informazioni
•UNION
SELECT
banner,
NULL,
NULL
from
v$version
43. Strumen4
automa4ci
•Esistono
numerosi
strumenD
automaDci
tramite
i
quali
è
possibile
idenDficare
e
sfruZare
le
SQL
InjecDon.
•E’
bene
comunque
imparare
a
sfruZarle
a
mano!
•Non
sempre
gli
strumenD
automaDci
sono
di
aiuto:
•In
quel
caso
è
possibile
modificare
lo
strumento
se
è
open
source.
•Oppure
farsi
una
propria
serie
di
script
nel
proprio
linguaggio
preferito
per
sfruZare
la
vulnerabilità.
44. Sqlmap
•Sqlmap
è
uno
dei
più
potenD
strumenD
per
le
SQL
InjecDon,
consideriamo
il
nostro
target
testasp.
•Scaricare:
hZp://sqlmap.org/
•Lanciare:
•python
sqlmap.py
-‐u
“hBp://testasp.vulnweb.com/
showthread.asp?id=1"
•python
sqlmap.py
-‐u
"hBp://testasp.vulnweb.com/
showthread.asp?id=1"
-‐-‐users
•python
sqlmap.py
-‐u
"hBp://testasp.vulnweb.com/
showthread.asp?id=1"
-‐-‐passwords
•python
sqlmap.py
-‐u
"hBp://testasp.vulnweb.com/
showthread.asp?id=1"
-‐-‐dbs
49. Suggerimen4
E’
possibile
miDgare
questa
vulnerabilità
uDlizzando
API
parametriche
per
interfacciarsi
agli
interpreD
oppure
regole
di
validazione
a
whitelist
per
verificare
il
dato.
Inoltre,
prima
della
validazione,
bisogna
eseguire
una
normalizzazione
(canonicalizaDon)
e
codificare
correZamente
il
dato
(encoding),
quindi
applicare
le
regole
specifiche
dell’interprete
per
gesDre
i
cara;eri
speciali
(escaping),
come
ad
esempio:
•CaraZeri
per
la
delimitazione
delle
stringhe
(es.
‘
“
)
•CaraZeri
o
sequenze
intepretate
(es.
%
-‐-‐
#
/*)
•Operatori
o
funzioni
(es.
AND
OR
NOT
SLEEP
||
CHR
+)
52. Frequently
Asked
Ques4ons
• I
database
NoSQL
sono
vulnerabili?
Si
• Esistono
altri
Dpi
di
InjecDon?
Si
es.
LDAP,
ORM,
XML
InjecRon,
XXE,
SSI,
XPath,
XQuery,
SPARQL,
IMAP/SMTP,
Code,
Command
• Se
uso
il
framework
X
sono
invulnerabile?
No,
dipende
da
come
si
usa
• Come
posso
prevenire?
Query
parametriche*,
validazione
whitelist/blacklist*
• Un
Web
ApplicaDon
Firewall
mi
protegge?
Ni*
• Su
una
Web
App
HTML5
posso
avere
SQL
InjecDon?
Si,
se
si
usano
i
Web
Database
• Come
si
fa
la
SQL
InjecDon
sul
database
X?
(dove
X
è
il
tuo
database)
Leggi
il
manuale
e
trova
le
funzioni
del
database
(e
versione)
specifica