Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
Presentazione dell'intervento al WordCamp Milano 2016 #wcmil sulle regole per generare username e password sicure, come testarli e verificarne l'inviolabilità, strumenti per eseguire backup manuali e automatici, i plugin base per rendere più sicuro il vostro sito web ed evitarne l'hacking.
La presentazione inoltre contiene esempi di configurazione di del Plugin "All in One WP Security & Firewall"
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
Modulo Master in Sicurezza Informatica e Hacking
Standard OWASP TOP 10
SQL Injection
XSS
PDF Reverse Shell
Tools
Ringraziamenti a :
Simone Onofri (Moduli SQLi & XSS)
Avv. Pieluigi Perri (Introduzione)
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
Presentazione dell'intervento al WordCamp Milano 2016 #wcmil sulle regole per generare username e password sicure, come testarli e verificarne l'inviolabilità, strumenti per eseguire backup manuali e automatici, i plugin base per rendere più sicuro il vostro sito web ed evitarne l'hacking.
La presentazione inoltre contiene esempi di configurazione di del Plugin "All in One WP Security & Firewall"
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
Modulo Master in Sicurezza Informatica e Hacking
Standard OWASP TOP 10
SQL Injection
XSS
PDF Reverse Shell
Tools
Ringraziamenti a :
Simone Onofri (Moduli SQLi & XSS)
Avv. Pieluigi Perri (Introduzione)
Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015Codemotion
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help boost feelings of calmness, happiness and focus.
Rinnovabili e circular economy: visioni e scenari di sviluppoItaleaf S.p.A.
Intervento di Paolo Ricci - Managing Director TerniEnergia al workshop "Industria verde e orizzonti globali" organizzato da Italeaf e TerniEnergia - Milano, Borsa Italiana - 18 ottobre 2013
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnicaKEA s.r.l.
Scopriamo come l'internet of things e l'augmented reality modificano le modalità di fruizione e di produzione dei contenuti della comunicazione tecnica: manuali di istruzioni, help online, cataloghi prodotto tecnici.
Le slide del mio intervento alla Ravenna Future Lessons 2015. Un punto di vista generale sullo stato dell'IoT: storia, il presente, i prodotti, le piattaforme e il futuro immediato. R&D IoT al CRS4 e la startup Paraimpu. Infine alcuni spunti di riflessione.
All'interno delle slide vedremo alcune informazioni circa il programma MSP (Microsoft Student Partners), Microsoft Azure, Microsoft Imagine (ex DreamSpark), Interent of Things (IoT) e Arduino. Utilizzeremo questi strumenti per realizzare un grafico della temperatura rilevata da Arduino per inviare i dati in cloud (SQL Database di Azure) e li elaboreremo per realizzare un grafico circa l'andamento della temperatura.
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...Jürgen Ambrosi
Tecnologie miniaturizzate a basso costo, basso consumo energetico, basso costo di connettività: stanno invadendo il nostro quotidiano in tutti gli ambiti di settore: Ambiente, Salute, Trasporti, Industria.... Proviamo a capire quali sono i casi di Business che stanno funzionando, quali i modelli di utilizzo implementati e quali le tecnologie abilitanti. Infine capiamo come Oracle aiuta i suoi clienti a cogliere questa opportunità attraverso le sue tecnologie.
INTERNET OF (EVERY)THING & SMART AGRICULTURE 10 Settembre 2015 EXPO, Milano
The interaction between physical objects and sensors connected to Internet makes it possible to exchange information in a manner which has never previously been possible anywhere in the world and to render smart objects inanimate in order to provide functionality and services which have not yet been fully explored.
Internet of (Every)Thing (IoE) entails various levels: from the smart home to the production of goods, among which food, and to the management of natural resources, like water. The IoE can therefore vary from examples of “consumer” oriented interconnected devices to more “enterprise” driven business cases, raising the interest of Governments and public administrations as well.
One of the most interesting field for our State’s future is the “smart agriculture”, monitoring micro- climate parameters supporting agriculture to improve products’ quality, to reduce risks coming from unpredictable weather phenomenon, to rationalize resources and to reduce the environmental impact.
If on one hand the IoE will make the world a better place to live, on the other hand it will be paramount to prevent and impede possible future abuses and violations.
The goal of the meeting is to gather international technical and legal experts to discuss opportunities and risks of IoE world.
http://www.technandlaw.net
L'internet delle Cose, sebbene conclamato e discusso molto di frequente, accorpa al suo interno un coacervo di tecnologie ancora poco conosciute e applicate dalle aziende manifatturiere. Vediamo quindi i possibili ambiti applicativi, i benefici e gli elementi ostativi alla sua diffusione.
Internet of Things: mercato, tecnologie, applicazioni e competenzeArmando Martin
Oggi l’Internet delle cose è un paradigma tecnologico in cui la comunicazione è estesa all’interazione tra uomini, dispositivi e sottosistemi. L’Internet delle cose è un insieme
di tecnologie digitali che vanno dai tag RFId alle reti di sensori, dalle superfici touch alla realtà aumentata, dai sistemi logistici integrati alle infrastrutture in chiave di sostenibilità
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Slide utilizzate durante l'intervento sulle Progressive Web App e le Trusted Web Activities applicate a Wordpress e Woocommerce.
Trovate informazioni più precise sull'argomento su https://2019.catania.wordcamp.org/session/progressive-web-app-e-twa/
e sugli articoli https://www.francescogiammanco.it/progressive-web-app-lighthouse/
e https://www.francescogiammanco.it/trasformare-un-sito-in-twa/
Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015Codemotion
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help boost feelings of calmness, happiness and focus.
Rinnovabili e circular economy: visioni e scenari di sviluppoItaleaf S.p.A.
Intervento di Paolo Ricci - Managing Director TerniEnergia al workshop "Industria verde e orizzonti globali" organizzato da Italeaf e TerniEnergia - Milano, Borsa Italiana - 18 ottobre 2013
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnicaKEA s.r.l.
Scopriamo come l'internet of things e l'augmented reality modificano le modalità di fruizione e di produzione dei contenuti della comunicazione tecnica: manuali di istruzioni, help online, cataloghi prodotto tecnici.
Le slide del mio intervento alla Ravenna Future Lessons 2015. Un punto di vista generale sullo stato dell'IoT: storia, il presente, i prodotti, le piattaforme e il futuro immediato. R&D IoT al CRS4 e la startup Paraimpu. Infine alcuni spunti di riflessione.
All'interno delle slide vedremo alcune informazioni circa il programma MSP (Microsoft Student Partners), Microsoft Azure, Microsoft Imagine (ex DreamSpark), Interent of Things (IoT) e Arduino. Utilizzeremo questi strumenti per realizzare un grafico della temperatura rilevata da Arduino per inviare i dati in cloud (SQL Database di Azure) e li elaboreremo per realizzare un grafico circa l'andamento della temperatura.
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...Jürgen Ambrosi
Tecnologie miniaturizzate a basso costo, basso consumo energetico, basso costo di connettività: stanno invadendo il nostro quotidiano in tutti gli ambiti di settore: Ambiente, Salute, Trasporti, Industria.... Proviamo a capire quali sono i casi di Business che stanno funzionando, quali i modelli di utilizzo implementati e quali le tecnologie abilitanti. Infine capiamo come Oracle aiuta i suoi clienti a cogliere questa opportunità attraverso le sue tecnologie.
INTERNET OF (EVERY)THING & SMART AGRICULTURE 10 Settembre 2015 EXPO, Milano
The interaction between physical objects and sensors connected to Internet makes it possible to exchange information in a manner which has never previously been possible anywhere in the world and to render smart objects inanimate in order to provide functionality and services which have not yet been fully explored.
Internet of (Every)Thing (IoE) entails various levels: from the smart home to the production of goods, among which food, and to the management of natural resources, like water. The IoE can therefore vary from examples of “consumer” oriented interconnected devices to more “enterprise” driven business cases, raising the interest of Governments and public administrations as well.
One of the most interesting field for our State’s future is the “smart agriculture”, monitoring micro- climate parameters supporting agriculture to improve products’ quality, to reduce risks coming from unpredictable weather phenomenon, to rationalize resources and to reduce the environmental impact.
If on one hand the IoE will make the world a better place to live, on the other hand it will be paramount to prevent and impede possible future abuses and violations.
The goal of the meeting is to gather international technical and legal experts to discuss opportunities and risks of IoE world.
http://www.technandlaw.net
L'internet delle Cose, sebbene conclamato e discusso molto di frequente, accorpa al suo interno un coacervo di tecnologie ancora poco conosciute e applicate dalle aziende manifatturiere. Vediamo quindi i possibili ambiti applicativi, i benefici e gli elementi ostativi alla sua diffusione.
Internet of Things: mercato, tecnologie, applicazioni e competenzeArmando Martin
Oggi l’Internet delle cose è un paradigma tecnologico in cui la comunicazione è estesa all’interazione tra uomini, dispositivi e sottosistemi. L’Internet delle cose è un insieme
di tecnologie digitali che vanno dai tag RFId alle reti di sensori, dalle superfici touch alla realtà aumentata, dai sistemi logistici integrati alle infrastrutture in chiave di sostenibilità
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Slide utilizzate durante l'intervento sulle Progressive Web App e le Trusted Web Activities applicate a Wordpress e Woocommerce.
Trovate informazioni più precise sull'argomento su https://2019.catania.wordcamp.org/session/progressive-web-app-e-twa/
e sugli articoli https://www.francescogiammanco.it/progressive-web-app-lighthouse/
e https://www.francescogiammanco.it/trasformare-un-sito-in-twa/
Queste sono le slide della mia presentazione al T3CampItalia 2011. Argomento della presentazione è stata la sicurezza in TYPO3, dalle impostazioni in fase di installazione, alle estensioni utili (es. il PHPIDS: Intrusion detection system), fino alle tecniche di programmazione per evitare gli attacchi più comuni (es. sql injection e cross site scripting).
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
Il nostro DevOps Engineer Gabriele Torregrossa insieme alla Solution Architect Eleonora Peruch di Red Hat, moderati dal giornalista Francesco Pignatelli, hanno mostrato come Red Hat ACS può aiutare a difendersi dalle minacce informatiche, riducendo al minimo i costi ed il rischio operativo delle tue applicazioni.
I temi trattati da Gabriele sono stati:
- RHACS Insights
- Conformità agli standard di settore
- Valutazione dei rischi per la sicurezza
- Gestione delle politiche di rete
- Gestione delle vulnerabilità
- Risposta alle violazioni
- Sistema centralizzato di ricerca
- Integrazione con SSO
- Gestione della salute del cluster
- Integrazione per allarmi e backup
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/advanced-cluster-security-come-si-mette-davvero-al-sicuro-il-cloud
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
Un CMS vulnerabile può permettere a un attaccante di prendere il pieno controllo del sito (Blog, Forum, e-commerce, etc.), fornendo la possibilità di modificare i contenuti, creare e rimuovere utenti e nel caso peggiore ottenere persino il controllo del server su cui è installato. Sempre più aziende ed enti istituzionali adottano questi strumenti, ma quali sono i vantaggi e che livello di sicurezza garantiscono gli attuali CMS? Affronteremo queste tematiche servendoci di metodologie e strumenti automatici di verifica delle vulnerabilità.
Similar to La sicurezza delle Web Application - SMAU Business Bari 2013 (20)
Social Engineering and other Foes in the GDPR YearMassimo Chirivì
Il workshop è dedicato all'approfondimento di una serie di attacchi e minacce da tener sotto controllo per ottemperare al pieno rispetto del GDPR.
Si approfondiranno temi legati a crittografia, data loss prevention, sicurezza fisica, social engineering attack e Open Source Intelligence.
Una veloce full immersion utile per sintetizzare e costruire il nuovo modus operandi ICT aziendale.
Target:
Lato domanda ICT: CIO, CISO, tecnici dei sistemi informatici e della loro sicurezza, responsabili delle diverse direzioni utenti dei sistemi informatici, responsabili del personale e dell’organizzazione, responsabili degli acquisti, CEO, COO e decisori sull’ICT
Lato offerta ICT: personale commerciale e marketing, tecnici, responsabili del personale e dell’organizzazione, CEO e COO, oltre a CIO, CSO, CISO e personale delle loro strutture.
Il 2016, in Italia, è partito veramente male per le aziende che vengono continuamente bersagliate dai cosiddetti “Criminali del web”. Solo in provincia di Vicenza le aziende che sono state vittima di ransomware sono circa 250. I danni per molte aziende sono stati ingenti, quelle non organizzate e strutturate con sistemi di protezione, sistemi di backup e/o disaster recovery hanno avuto la peggio perdendo i dati, mentre le organizzazioni che avevano già da tempo dato importanza alla “Sicurezza Informatica” si sono limitate a qualche ora di fermo per poter avviare e portare a termine i vari piani di Disaster Recovery.
Purtroppo questi fenomeni e queste tipologie di attacchi stanno diventando sempre più numerosi e potenti, grazie al fatto che, nel mondo del “Dark Web”, si trovano spesso i cosiddetti “Distributori di ransomware”, che arruolano nelle proprie organizzazioni criminali chiunque sia in cerca di soldi facili: vendono dei kit a pochi soldi, naturalmente si fanno pagare in Bitcoin (moneta virtuale) aumentando così la rete e l'area di distribuzione. Le soluzioni “fai da te” non hanno portato buoni risultati; ho visto negli ultimi mesi aziende che avevano sistemi di backup e soluzioni antivirus che comunque sono state attaccate da queste tipologie di virus perdendo dati e backup. Alcuni, ad esempio, avevano i dispositivi su cui venivano depositati i backup connessi ai computer e/o server e privi di sistemi di protezione adeguati. Voglio ricordare che i ransomware si espandono sul PC infettato e su tutti i dispositivi collegati (Dischi USB, Pen Drive, sistemi di Storage, NAS, e quant’altro), ripeto, privi di sistemi di protezione adeguati.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Affrontare la sicurezza di una web application è uno dei compiti più difficili che uno sviluppatore deve considerare durante le fasi di sviluppo ed integrazione di un software o di un semplice sito web.
Le minacce presenti sul web sono sempre più numerose e ricercare vulnerabilità e metodi di attacco diventa sempre più semplice, anche per i meno esperti.
Il talk mira a fornire indicazioni utili per cercare di evitare al massimo attacchi sulle proprie applicazioni, analizzando le principali vulnerabilità dei più famosi progetti Open Source.
La sicurezza delle Web Application - SMAU Business Bari 2013
1. LA SICUREZZA DELLE WEB APPLICATION
Massimo Chirivì
LA SICUREZZA DELLE WEB APPLICATION
2. Sommario
• Presentazione
• Ethical Hacking
• Information Gathering
• Fingerprinting Web Server
• Subdomain Enumeration
• Virtual Hosting
• Fingerprinting Frameworks and Application
• Resource Enumeration
LA SICUREZZA DELLE WEB APPLICATION
3. Chi sono
• Dal 1988 con la passione dell’informatica
• Dal 1996 al servizio delle aziende per lavoro
• Dal 1998 al servizio della P.A. per il bene di tutti
• Dal 2010 in una delle più grandi aziende ICT d’Italia.
Di cosa mi occupo
- Information Security
- System Administrator
- Ethical Hacking
Condividere è un dovere etico… La condivisione è conoscenza.
LA SICUREZZA DELLE WEB APPLICATION
4. AIPSI – Associazione Italiana Professionisti Sicurezza
Informatica
AIPSI
Associazione
Capitolo
di singoli
Italiano di
professionisti
ISSA
Oltre 10.000
esperti in 200 soci in
tutto il Italia
mondo
LA SICUREZZA DELLE WEB APPLICATION
5. AIPSI – Associazione Italiana Professionisti Sicurezza
Informatica
Obiettivi:
• Organizzazione di forum educativi
• Redazione di documenti e pubblicazioni specializzate
• Interscambio di esperienze fra i professionisti del
settore (nazionali e internazionali)
• Riferimento per la ricerca di professionisti di sicurezza
IT
• Interazione con altre organizzazioni professionali
• Rilascio di attestati e certificazioni specifiche
LA SICUREZZA DELLE WEB APPLICATION
6. Ethical Hacking
• Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di
competenze specifiche per determinare le vulnerabilità dei sistemi informatici.
L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno
probabili di essere penetrati.
• Molte aziende utilizzano i servizi di hacking etico a tempo pieno per
mantenere i loro sistemi e informazioni al sicuro.
• Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza
la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al
contrario, questo lavoro è etico perché viene eseguito per aumentare la
sicurezza dei sistemi informatici.
• L'obiettivo di ethical hacking è quello di determinare il modo di violare i
programmi presenti in esecuzione, ma solo su richiesta della società che
possiede il sistema ed in particolare per impedire ad altri di attaccarlo.
LA SICUREZZA DELLE WEB APPLICATION
7. Information Gathering
- Rappresenta la fase della raccolta di informazioni.
Quante più ne abbiamo meglio valuteremo la sicurezza dell’applicazione web.
Quindi bisogna organizzare le informazioni in modo corretto.
- E’ la fase più importante del penetration test.
- Durante le fasi successive potrebbe servire qualsiasi particolare.
NON CI SONO INFORMAZIONI NON NECESSARIE!
LA SICUREZZA DELLE WEB APPLICATION
8. Fingerprinting Web Server
• Dobbiamo analizzare l’infrastruttura, cioè tutto quello che c’è sul server
per permettere il corretto funzionamento dell’applicazione web
– Server Web (Apache, IIS, Tomcat)
– Sistema operativo (Windows, Linux)
– DB ( Sql server, Mysql, Oracle, PG)
– Moduli rewrite (Rewrite x Apache – Isapi o Ionic Elicon x IIS)
– Modulo security
– Linguaggi utilizzati (PHP, Javascript, ASP, ASP.NET, Java)
– Librerie e script utilizzati (Jquery – Mootools)
– Flash
LA SICUREZZA DELLE WEB APPLICATION
9. Subdomain Enumeration
Bisogna trovare tutti i sottodomini situati all’interno di un dominio?
1) Ampliare la superficie di attacco
2) Rilevare pannelli di gestione backend
3) Applicazione web situato sul 3° livello
Come?
• Netcraft
• Subdomainer.py
• Google o Bing (metodo più utilizzato)
• Crawling o Brute Force (Burp Suite)
• Zone Transfers (utility DIG o Nslookup)
LA SICUREZZA DELLE WEB APPLICATION
11. Virtual Hosting
L'Hosting virtuale è un metodo usato sui server web per ospitare il sito web
per più di un nome di dominio sullo stesso server, oppure ospitare diversi siti
web, talvolta sullo stesso indirizzo IP.
Vi sono diverse tecniche di virtual hosting, con diverse limitazioni.
Attenzione!
Il server è configurato con un solo indirizzo IP, a cui sono associati i nomi DNS
di tutti i siti ospitati. Quando il server riceve una richiesta HTTP, legge
l'hostname richiesto e decide di conseguenza quale dominio servire.
Questo permette di utilizzare un solo indirizzo IP per molti siti utilizzando
porte TCP standard e URL senza la specifica della porta.
Questa tecnica è comunemente usata da providers di spazio web per siti
internet.
Hostmap è il tool più utilizzato
LA SICUREZZA DELLE WEB APPLICATION
12. Fingerprinting Frameworks and Application
Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM
Soffermiamoci sulle COTS:
1) Gran parte del web è realizzato con questo tipo di applicazioni (Joomla, Wordpress, Magento,
Virtuemart, Alfresco, Liferay, ecc.ecc.)
2) Può essere sia commerciale che open source
3) Il codice sorgente è disponibile a tutti, anche ai malitenzionati!
4) Gli add-on o componenti aggiuntivi sono scritti non sempre in maniera corretta e contengono molte
vulnerabilità
5) La ricerca su internet delle vulnerabilità e degli exploit è alcune volte banale.
Come?
JoomScan http://sourceforge.net/projects/joomscan/
Secunia Database x verificare la vulnerabilità
BurpSuite x crawling del sito web
Osservare HTML con attenzione
Osservare banner, footer, header
Live http Headers for Firefox Browser
Osservare gli URL: index.php?option=%component_name%&task=%xxx%&task=%value%
LA SICUREZZA DELLE WEB APPLICATION
13. Fingerprinting Frameworks and Application
Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM
Soffermiamoci sulle CUSTOM
Primo passo Studiare la logica dell’applicazione!
1. A cosa serve?
2. Consente la registrazione degli utenti?
3. Ha un pannello di amministrazione?
4. Accetta input dall’utente?
5. Che tipo di input accetta?
6. Accetta upload di file?
7. Usa Javascript, flash, ecc.ecc.
8. Ci sono applicazioni cablate nell’applicazione custom?
LA SICUREZZA DELLE WEB APPLICATION
14. Fingerprinting Frameworks and Application
Analizziamo la superficie di attacco
Convalida lato client oppure lato server
Sql injection
Logica dell’applicazione errata
Cross Site Scripting
Interazione con il database
Sql injection
Upload di file
Che tipo di files posso caricare
Visualizzazione dei dati
Cross Site Scripting
Reindirizzamenti
HTTP response splitting
Pagine di Login
Bypassare il login (Sessions e cookies non gestiti correttamente)
Bruteforce
Messaggi di errore
Informazioni importanti sulla struttura dell’applicazione o del DB.
LA SICUREZZA DELLE WEB APPLICATION
15. Resource Enumeration
• Crawling/Spider del sito web (ad esempio: BURPSUITE)
• DirBuster
Differenze tra uno Spider e DirBuster?
- Il crawling del sito web si effettuà con gli spider e quindi è basato sui link e
sui form.
- DirBuster è progetto Owasp con lo scopo di andare a scoprire tutti quei file e
quelle cartelle presenti in un sito web, che volutamente si vogliono
nascondere da occhi indiscreti. Questo approccio è conosciuto come security
by obscurity ed è uno degli approcci più sbagliati e più controproducenti che
un web developer possa seguire.
LA SICUREZZA DELLE WEB APPLICATION
16. Resource Enumeration
• Attenzione ai file rinominati lasciati dallo sviluppatore sul server, ad
esempio il file configuration.php di Joomla che si potrebbe trovare come
configuration.bak o .old
• Attenzione ad altri files importanti rinominati per errore e quindi
interpretati come file di testo e non dal server
• Se il motore è IIS con ASP quasi sicuramente ci saranno file .inc che
venivano utilizzati per essere inclusi in file ASP
• Directory listing
• Opzioni HTTP (PUT permesso)
put /images/attacco.php http/1.1 content-lenght:xxx[invio]
Content html [invio]
[invio]
Il file è creato è può essere richiamato da browser
LA SICUREZZA DELLE WEB APPLICATION
17. Resource Enumeration
Google Hacking
http://johnny.ihackstuff.com/ghdb/
http://www.googleguide.com/advanced_operators.html
Ad esempio
Filetype=‘’bak’’
Filetype=‘’inc’’
E aggiungendo:
site:www.target.com
Gli operatori presenti sulla guida avanzata di Google sono centinaia!
LA SICUREZZA DELLE WEB APPLICATION
18. Iniziamo con un po’ di pratica.
Quali sono le informazioni che cerchiamo?
1) Dati dell’organizzazione
2) IP, domini e sottodomini
3) Infrastruttura (Server, CMS, Framework, Database)
4) Logica dell’applicazione
5) Host virtuali sul server
6) La struttura dell’applicazione
7) File nascosti nell’applicazione
8) Username & Password
LA SICUREZZA DELLE WEB APPLICATION
26. Approfondiamo i record DNS con nslookup
C:Usersmassimo.chirivi>nslookup
DNS request timed out.
> sviluppoeconomico.gov.it
timeout was 2 seconds. Server: [151.99.125.2]
Server predefinito: UnKnown Address: 151.99.125.2
Address: fe80::88f0:f3d6:3c8b:26eb
Risposta da un server non autorevole:
Nome: sviluppoeconomico.gov.it
> sviluppoeconomico.gov.it
Address: 88.49.250.35
Server: UnKnown
Address: fe80::88f0:f3d6:3c8b:26eb > server ns1.sviluppoeconomico.gov.it
Server predefinito: ns1.sviluppoeconomico.gov.it
DNS request timed out. Address: 88.49.250.35
timeout was 2 seconds.
> sviluppoeconomico.gov.it
DNS request timed out. Server: ns1.sviluppoeconomico.gov.it
timeout was 2 seconds. Address: 88.49.250.35
DNS request timed out.
timeout was 2 seconds. Nome: sviluppoeconomico.gov.it
Address: 88.49.250.35
DNS request timed out.
timeout was 2 seconds.
*** Tempo scaduto per la richiesta a
UnKnown
> server 151.99.125.2
DNS request timed out.
timeout was 2 seconds.
Server predefinito: [151.99.125.2]
Address: 151.99.125.2
LA SICUREZZA DELLE WEB APPLICATION
28. Una sorpresa dopo 1 ora di lavoro
Se digitiamo sul browser: http:// vcse.sviluppoeconomico.gov.it
Ricercare vulnerabilità sul web
User & Password di default
Brute Force sul form
LA SICUREZZA DELLE WEB APPLICATION
30. Grazie per l’attenzione
www.massimochirivi.net
info@massimochirivi.net
Facebook
Skype: mchirivi
Linkedin
Sito smau – www.smau.it
Sito AIPSI -- www.aipsi.org
Studia, prova, amplia, ricerca, analizza, migliora …
… condividi con gli altri anche tu
… sempre con il cappello bianco
LA SICUREZZA DELLE WEB APPLICATION