SlideShare a Scribd company logo

Va sui miei siti web

Download as ODP, PDF
Daniele Albrizio
Daniele Albrizio

Vulnerability Assessment vuol dire mettersi per un attimo nei panni dei cattivi per capire se il nostro sito sia facilmente attaccabile in modo da proteggersi almeno dalle aggressioni più comuni. Vedremo alcune modalità di attacco e assessment più comuni con dei rapidi esempi d'uso degli strumenti di software libero più comuni come nmap, nikto, dirb.

Internet
1 of 28
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it VA sui miei siti web attacchi ai siti web e prevenzione Daniele Albrizio – daniele@albrizio.it
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Agenda ● Quadro di applicabilità ● Cenni sui fondamenti di sicurezza informatica ● Possibili azioni da mettere in campo ● Strumenti di uso comune ● Protezione dell’utente finale ● Ulteriori passi possibili
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Quadro di applicabilità ● Gestisco più siti web ● Ne prendo in gestione di esistenti o ne gestisco altri da un decennio – Non ricordo cosa ho mangiato ieri e quindi non so cosa ho fatto su ogni sito nel tempo ● Debug lasciati attivati ● Pagine di test ● ...
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Quadro della Sicurezza Informatica ● Guerra agli armamenti – Sviluppo tecnologie di attacco – Sviluppo tecnologie di difesa – Miglioramento tecnologie di attacco – Miglioramento tecnologie di difesa – … e così via ● Analisi dell’esposizione (posso essere interessante per qualcuno) ● Ragionevole difesa
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it InfoSecurity Basics ● Confidenzialità ● Integrità ● Disponibilità CC BY-NC 2.0 thaths CC BY-SA 2.0 Stan Wiechers CC BY 2.0 NEC Corporation of America
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Prevenzione ● Gestione semplice (Keep it Simple) ● Monitoraggio ● Auditing (Pen Tests) ● (Auto)formazione
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Cosa posso fare in pratica? ● Controllare che i miei siti non siano facilmente attaccabili da umani o script ● Diminuire la superficie di attacco
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Disclaimer ● Do try this ONLY at YOUR home or... CC-BY-SA 4.0 int Vinzseventyfive
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Strumenti fuori dal server ● nmap ● dirb (Dirbuster) ● nikto ● WPScan (gratis non-free) ● Burp ($) ● Nessus ($) ● [Metasploit (per approfondire)] I logo dei prodotti sono di proprietà dei rispettivi progetti
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Strumenti sul server ● netstat ● fail2ban (protezione da password guessing and more) ● Mod-Security per Apache – https://www.modsecurity.org/
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it nmap ● ping/port scanner ● OS guess ● Semplici script di test di vulnerabilità note ● Se trovo porte che non devono essere aperte, con “netstat -nlp” capisco che processo le sta gestendo
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Dir Buster ● Scan di percorsi well-known (molto noti) all’interno di un sito usando una serie di vocabolari specializzati ● Spesso rivelatore di presenza di software sfruttabile ● Non rileva direttamente vulnerabilità ● Utile per rilevare l’accessibilità di percorsi che si pensavano protetti
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it dirb wordlists ● /usr/share/dirb/wordlists/ – big.txt euskera.txt mutations_common.txt spanish.txt catala.txt extensions_common.txt common.txt indexes.txt small.txt ● others: – best1050.txt best110.txt best15.txt names.txt ● stress: – alphanum_case_extra.txt char.txt test_ext.txt uri_hex.txt alphanum_case.txt doble_uri_hex.txt unicode.txt ●
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it dirb wordlists ● Vulns: – apache.txt frontpage.txt jrun.txt tests.txt axis.txt hpsmh.txt netware.txt tomcat.txt cgis.txt hyperion.txt oracle.txt vignette.txt coldfusion.txt iis.txt ror.txt weblogic.txt domino.txt iplanet.txt sap.txt websphere.txt fatwire_pagenames.txt jboss.txt sharepoint.txt fatwire.txt jersey.txt sunas.txt
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it nikto ● Scanner di siti web usa un database di vulnerabilità vasto ● Restituisce informazioni utili per ulteriori analisi dei contenuti (robots.txt, default files, debug attivati) ● Infomazioni su contromisure di sicurezza adottate (HSTS, x-frame-options, ecc)
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it WPScan ● Scansiona vulnerabilità di wordpress e plugin ● Autoaggiornante ● Enumerazione temi e plugin ● Verifica versioni e obsolescenza ● Brute force User e Password
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Documentarsi sulle vulnerablità ● Una volta trovate le vulnerabilità è più facile e opportuno documentarsi in maniera puntuale su: – Cosa sono – Come vengono sfruttate – Come posso mitigarle ● Google è sempre vostro amico
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Validate il vostro firewall ● VA da fuori e da dentro ● Fuori <> Internet (it’s not your home) ● Risultati diversi → firewall e policy efficaci ● Risultati uguali → stai sbagliando qualcosa – Ad esempio sbagli nel pernsare che hai un firewall o sbagli ad averlo comprato.
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Il loro ultimo miglio ● E’ importante proteggere il nostro sito e il nostro server ma non è tutto ● Integrità e Confidenzialità sono delle tematiche end-to-end ● Dobbiamo far qualcosa per proteggere anche i nostri utenti/clienti CC0 https://pxhere.com/en/photo/10261 73
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it SSL ● Proteggere TUTTO il nostro sito con HTTPS permette di preservare confidenzialità e integrità ● Scelta algoritmi sicuri ● HSTS (https strict) ● X-frame-protection
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it HTTP security headers – Forzare l’accesso al sito solo via SSL: ● Strict-Transport-Security: max-age=15768000 – Bloccare il/i certificati usati dal proprio sito (certificate pinning) ● !!!! Rischio di tagliarsi fuori i propri utenti – Controllo dell’incorporamento della propria pagina all’interno di siti terzi con le direttive <frame>, <iframe> o <object>: ● X-Frame-Options: deny ● X-Frame-Options: sameorigin ● X-Frame-Options: allow-from https://example.com/
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Tecnologie di protezione aggiornate ● Tutto questo impatta anche sulla disponibilità in quanto motori di ricerca e browser estromettono in maniera molto aggiornata i siti non compliant dall’esperienza utente.
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Al lupo, al lupo! ● Installare certificati Trusted ● Installarli correttamente ● Verificare la CA Chain – https://www.digicert.com/help/
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Cosa altro possiamo fare ● Costo di intervento maggiore – Mod-Security web application firewall – Interventi manuali o semi automatici su ● SQL Injection ● Input validation ● … – Secure web programming https://www.owasp.org/
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Wrap-Up ● Abbiamo: – capito in che contesto lavoriamo – approfondito alcuni dei principali rischi – appreso l’esistenza di strumenti semplici e liberi – appreso cosa mettere in campo e in che contesto per ottenere... – Ragionevole (plausibile) Sicurezza
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Domande ... risposte Finger face with a question. CC-BY 2.0 Tsahi Levent-Levi
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Credits ● jekil - Post Exploitation: Be Bad Guys ● Nation State Post Exploitation - Alessandro 'jekil' Tanasi ● Daniele Albrizio – Corso di sicurezza base workshop garr 2017
Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Licenza d'uso di questo documento Quest'opera è stata rilasciata sotto la licenza Creative Commons Attribuzione-Condividi allo stesso modo 2.5. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/publicdomain/ o spedisci una lettera a Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.

Recommended

come il front-end automation aiuta tutto il team
come il front-end automation aiuta tutto il teamcome il front-end automation aiuta tutto il team
come il front-end automation aiuta tutto il teamextrategy
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Rapid prototyping with Ionic Framework
Rapid prototyping with Ionic FrameworkRapid prototyping with Ionic Framework
Rapid prototyping with Ionic FrameworkAlessio Delmonti
 
Startup weekend bootcamp
Startup weekend bootcampStartup weekend bootcamp
Startup weekend bootcampMichelantonio Trizio
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Web Content Filtering
Web Content FilteringWeb Content Filtering
Web Content Filteringmmarcuzzi
 
Google Analytics 4: affrontare il cambiamento senza sforzi
Google Analytics 4: affrontare il cambiamento senza sforziGoogle Analytics 4: affrontare il cambiamento senza sforzi
Google Analytics 4: affrontare il cambiamento senza sforziSiteGround.com
 
Launchpad e code review
Launchpad e code reviewLaunchpad e code review
Launchpad e code reviewAssociazione Odoo Italia
 

Recommended

come il front-end automation aiuta tutto il team
come il front-end automation aiuta tutto il teamcome il front-end automation aiuta tutto il team
come il front-end automation aiuta tutto il teamextrategy
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Rapid prototyping with Ionic Framework
Rapid prototyping with Ionic FrameworkRapid prototyping with Ionic Framework
Rapid prototyping with Ionic FrameworkAlessio Delmonti
 
Startup weekend bootcamp
Startup weekend bootcampStartup weekend bootcamp
Startup weekend bootcampMichelantonio Trizio
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Web Content Filtering
Web Content FilteringWeb Content Filtering
Web Content Filteringmmarcuzzi
 
Google Analytics 4: affrontare il cambiamento senza sforzi
Google Analytics 4: affrontare il cambiamento senza sforziGoogle Analytics 4: affrontare il cambiamento senza sforzi
Google Analytics 4: affrontare il cambiamento senza sforziSiteGround.com
 
Launchpad e code review
Launchpad e code reviewLaunchpad e code review
Launchpad e code reviewAssociazione Odoo Italia
 
Non so assolutmente niente di informatica o web ma devo comunque creare un pr...
Non so assolutmente niente di informatica o web ma devo comunque creare un pr...Non so assolutmente niente di informatica o web ma devo comunque creare un pr...
Non so assolutmente niente di informatica o web ma devo comunque creare un pr...Gabriele Guizzardi
 
Come implementare i Rich Snippet per rafforzare la presenza in SERP
Come implementare i Rich Snippet per rafforzare la presenza in SERPCome implementare i Rich Snippet per rafforzare la presenza in SERP
Come implementare i Rich Snippet per rafforzare la presenza in SERPWeb2Lab Studio
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeSiti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeDiego La Monica
 
[Ditedi]ha in azienda
[Ditedi]ha in azienda[Ditedi]ha in azienda
[Ditedi]ha in aziendaDario Tion
 
Siamo tutti bravi con il browser degli altri!
Siamo tutti bravi con il browser degli altri!Siamo tutti bravi con il browser degli altri!
Siamo tutti bravi con il browser degli altri!Francesco Sciuti
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine LearningCaffeina
 
Sviluppare con Portofino
Sviluppare con PortofinoSviluppare con Portofino
Sviluppare con PortofinoNaLUG
 
La salute del software
La salute del softwareLa salute del software
La salute del softwareGuido Pederzini
 
Session isolation e rendering delle pagine web
Session isolation e rendering delle pagine webSession isolation e rendering delle pagine web
Session isolation e rendering delle pagine webGiacomo Zecchini
 
Wp security & SSL v2
Wp security & SSL v2Wp security & SSL v2
Wp security & SSL v2VirginioLaurini
 
Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Piero Sbressa
 
Microsoft Fast - Overview
Microsoft Fast - OverviewMicrosoft Fast - Overview
Microsoft Fast - OverviewFrancesco Sciuti
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanMiriade Spa
 
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...Associazione Digital Days
 
GAE python GDG Milano L04
GAE python GDG Milano L04GAE python GDG Milano L04
GAE python GDG Milano L04Paolo Dadda
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereMarinuzzi & Associates
 
AgileIoT, da Arduino al Delivery
AgileIoT, da Arduino al DeliveryAgileIoT, da Arduino al Delivery
AgileIoT, da Arduino al DeliveryFelice Pescatore
 
ClueMapper: uno strumento Open Source per la gestione di progetti software co...
ClueMapper: uno strumento Open Source per la gestione di progetti software co...ClueMapper: uno strumento Open Source per la gestione di progetti software co...
ClueMapper: uno strumento Open Source per la gestione di progetti software co...Stefano Marchetti
 
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...Commit University
 
Dns e bind
Dns e bindDns e bind
Dns e bindDaniele Albrizio
 
free radius 201106
free radius 201106free radius 201106
free radius 201106Daniele Albrizio
 

More Related Content

Similar to Va sui miei siti web

Non so assolutmente niente di informatica o web ma devo comunque creare un pr...
Non so assolutmente niente di informatica o web ma devo comunque creare un pr...Non so assolutmente niente di informatica o web ma devo comunque creare un pr...
Non so assolutmente niente di informatica o web ma devo comunque creare un pr...Gabriele Guizzardi
 
Come implementare i Rich Snippet per rafforzare la presenza in SERP
Come implementare i Rich Snippet per rafforzare la presenza in SERPCome implementare i Rich Snippet per rafforzare la presenza in SERP
Come implementare i Rich Snippet per rafforzare la presenza in SERPWeb2Lab Studio
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeSiti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeDiego La Monica
 
[Ditedi]ha in azienda
[Ditedi]ha in azienda[Ditedi]ha in azienda
[Ditedi]ha in aziendaDario Tion
 
Siamo tutti bravi con il browser degli altri!
Siamo tutti bravi con il browser degli altri!Siamo tutti bravi con il browser degli altri!
Siamo tutti bravi con il browser degli altri!Francesco Sciuti
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine LearningCaffeina
 
Sviluppare con Portofino
Sviluppare con PortofinoSviluppare con Portofino
Sviluppare con PortofinoNaLUG
 
Session isolation e rendering delle pagine web
Session isolation e rendering delle pagine webSession isolation e rendering delle pagine web
Session isolation e rendering delle pagine webGiacomo Zecchini
 
Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Piero Sbressa
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanMiriade Spa
 
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...Associazione Digital Days
 
GAE python GDG Milano L04
GAE python GDG Milano L04GAE python GDG Milano L04
GAE python GDG Milano L04Paolo Dadda
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereMarinuzzi & Associates
 
AgileIoT, da Arduino al Delivery
AgileIoT, da Arduino al DeliveryAgileIoT, da Arduino al Delivery
AgileIoT, da Arduino al DeliveryFelice Pescatore
 
ClueMapper: uno strumento Open Source per la gestione di progetti software co...
ClueMapper: uno strumento Open Source per la gestione di progetti software co...ClueMapper: uno strumento Open Source per la gestione di progetti software co...
ClueMapper: uno strumento Open Source per la gestione di progetti software co...Stefano Marchetti
 
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...Commit University
 

Similar to Va sui miei siti web (20)

Non so assolutmente niente di informatica o web ma devo comunque creare un pr...
Non so assolutmente niente di informatica o web ma devo comunque creare un pr...Non so assolutmente niente di informatica o web ma devo comunque creare un pr...
Non so assolutmente niente di informatica o web ma devo comunque creare un pr...
 
Come implementare i Rich Snippet per rafforzare la presenza in SERP
Come implementare i Rich Snippet per rafforzare la presenza in SERPCome implementare i Rich Snippet per rafforzare la presenza in SERP
Come implementare i Rich Snippet per rafforzare la presenza in SERP
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AI
 
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenzeSiti web, portali e Rich Internet Applications: tendenze e controtendenze
Siti web, portali e Rich Internet Applications: tendenze e controtendenze
 
[Ditedi]ha in azienda
[Ditedi]ha in azienda[Ditedi]ha in azienda
[Ditedi]ha in azienda
 
Siamo tutti bravi con il browser degli altri!
Siamo tutti bravi con il browser degli altri!Siamo tutti bravi con il browser degli altri!
Siamo tutti bravi con il browser degli altri!
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
 
Sviluppare con Portofino
Sviluppare con PortofinoSviluppare con Portofino
Sviluppare con Portofino
 
La salute del software
La salute del softwareLa salute del software
La salute del software
 
Session isolation e rendering delle pagine web
Session isolation e rendering delle pagine webSession isolation e rendering delle pagine web
Session isolation e rendering delle pagine web
 
Wp security & SSL v2
Wp security & SSL v2Wp security & SSL v2
Wp security & SSL v2
 
Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015Ttg 09 07_2015_debug_vs_2015
Ttg 09 07_2015_debug_vs_2015
 
Microsoft Fast - Overview
Microsoft Fast - OverviewMicrosoft Fast - Overview
Microsoft Fast - Overview
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
 
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...
Lorenzo Diaco, CEO di @Publytics – “Navigare nell’era del Cookieless: strateg...
 
GAE python GDG Milano L04
GAE python GDG Milano L04GAE python GDG Milano L04
GAE python GDG Milano L04
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
 
AgileIoT, da Arduino al Delivery
AgileIoT, da Arduino al DeliveryAgileIoT, da Arduino al Delivery
AgileIoT, da Arduino al Delivery
 
ClueMapper: uno strumento Open Source per la gestione di progetti software co...
ClueMapper: uno strumento Open Source per la gestione di progetti software co...ClueMapper: uno strumento Open Source per la gestione di progetti software co...
ClueMapper: uno strumento Open Source per la gestione di progetti software co...
 
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...
Un viaggio alla scoperta dei Language Models e dell’intelligenza artificiale ...
 

More from Daniele Albrizio

Rete di casa e raspberry pi - Home network and Raspberry Pi
Rete di casa e raspberry pi - Home network and Raspberry Pi Rete di casa e raspberry pi - Home network and Raspberry Pi
Rete di casa e raspberry pi - Home network and Raspberry Pi Daniele Albrizio
 
Un tesoro nascosto nella linea di comando
Un tesoro nascosto nella linea di comandoUn tesoro nascosto nella linea di comando
Un tesoro nascosto nella linea di comandoDaniele Albrizio
 
E va bene, passo a Linux. Da dove inizio?
E va bene, passo a Linux. Da dove inizio?E va bene, passo a Linux. Da dove inizio?
E va bene, passo a Linux. Da dove inizio?Daniele Albrizio
 
Metasploit3 - David Calligaris
Metasploit3 - David CalligarisMetasploit3 - David Calligaris
Metasploit3 - David CalligarisDaniele Albrizio
 
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta Daniele Albrizio
 
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaUn approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaDaniele Albrizio
 
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...Daniele Albrizio
 

More from Daniele Albrizio (10)

Dns e bind
Dns e bindDns e bind
Dns e bind
 
free radius 201106
free radius 201106free radius 201106
free radius 201106
 
Rete di casa e raspberry pi - Home network and Raspberry Pi
Rete di casa e raspberry pi - Home network and Raspberry Pi Rete di casa e raspberry pi - Home network and Raspberry Pi
Rete di casa e raspberry pi - Home network and Raspberry Pi
 
Lightning saml
Lightning samlLightning saml
Lightning saml
 
Un tesoro nascosto nella linea di comando
Un tesoro nascosto nella linea di comandoUn tesoro nascosto nella linea di comando
Un tesoro nascosto nella linea di comando
 
E va bene, passo a Linux. Da dove inizio?
E va bene, passo a Linux. Da dove inizio?E va bene, passo a Linux. Da dove inizio?
E va bene, passo a Linux. Da dove inizio?
 
Metasploit3 - David Calligaris
Metasploit3 - David CalligarisMetasploit3 - David Calligaris
Metasploit3 - David Calligaris
 
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
 
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaUn approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
 
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
 

Va sui miei siti web

  • 1. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it VA sui miei siti web attacchi ai siti web e prevenzione Daniele Albrizio – daniele@albrizio.it
  • 2. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Agenda ● Quadro di applicabilità ● Cenni sui fondamenti di sicurezza informatica ● Possibili azioni da mettere in campo ● Strumenti di uso comune ● Protezione dell’utente finale ● Ulteriori passi possibili
  • 3. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Quadro di applicabilità ● Gestisco più siti web ● Ne prendo in gestione di esistenti o ne gestisco altri da un decennio – Non ricordo cosa ho mangiato ieri e quindi non so cosa ho fatto su ogni sito nel tempo ● Debug lasciati attivati ● Pagine di test ● ...
  • 4. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Quadro della Sicurezza Informatica ● Guerra agli armamenti – Sviluppo tecnologie di attacco – Sviluppo tecnologie di difesa – Miglioramento tecnologie di attacco – Miglioramento tecnologie di difesa – … e così via ● Analisi dell’esposizione (posso essere interessante per qualcuno) ● Ragionevole difesa
  • 5. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it InfoSecurity Basics ● Confidenzialità ● Integrità ● Disponibilità CC BY-NC 2.0 thaths CC BY-SA 2.0 Stan Wiechers CC BY 2.0 NEC Corporation of America
  • 6. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Prevenzione ● Gestione semplice (Keep it Simple) ● Monitoraggio ● Auditing (Pen Tests) ● (Auto)formazione
  • 7. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Cosa posso fare in pratica? ● Controllare che i miei siti non siano facilmente attaccabili da umani o script ● Diminuire la superficie di attacco
  • 8. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Disclaimer ● Do try this ONLY at YOUR home or... CC-BY-SA 4.0 int Vinzseventyfive
  • 9. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Strumenti fuori dal server ● nmap ● dirb (Dirbuster) ● nikto ● WPScan (gratis non-free) ● Burp ($) ● Nessus ($) ● [Metasploit (per approfondire)] I logo dei prodotti sono di proprietà dei rispettivi progetti
  • 10. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Strumenti sul server ● netstat ● fail2ban (protezione da password guessing and more) ● Mod-Security per Apache – https://www.modsecurity.org/
  • 11. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it nmap ● ping/port scanner ● OS guess ● Semplici script di test di vulnerabilità note ● Se trovo porte che non devono essere aperte, con “netstat -nlp” capisco che processo le sta gestendo
  • 12. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Dir Buster ● Scan di percorsi well-known (molto noti) all’interno di un sito usando una serie di vocabolari specializzati ● Spesso rivelatore di presenza di software sfruttabile ● Non rileva direttamente vulnerabilità ● Utile per rilevare l’accessibilità di percorsi che si pensavano protetti
  • 13. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it dirb wordlists ● /usr/share/dirb/wordlists/ – big.txt euskera.txt mutations_common.txt spanish.txt catala.txt extensions_common.txt common.txt indexes.txt small.txt ● others: – best1050.txt best110.txt best15.txt names.txt ● stress: – alphanum_case_extra.txt char.txt test_ext.txt uri_hex.txt alphanum_case.txt doble_uri_hex.txt unicode.txt ●
  • 14. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it dirb wordlists ● Vulns: – apache.txt frontpage.txt jrun.txt tests.txt axis.txt hpsmh.txt netware.txt tomcat.txt cgis.txt hyperion.txt oracle.txt vignette.txt coldfusion.txt iis.txt ror.txt weblogic.txt domino.txt iplanet.txt sap.txt websphere.txt fatwire_pagenames.txt jboss.txt sharepoint.txt fatwire.txt jersey.txt sunas.txt
  • 15. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it nikto ● Scanner di siti web usa un database di vulnerabilità vasto ● Restituisce informazioni utili per ulteriori analisi dei contenuti (robots.txt, default files, debug attivati) ● Infomazioni su contromisure di sicurezza adottate (HSTS, x-frame-options, ecc)
  • 16. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it WPScan ● Scansiona vulnerabilità di wordpress e plugin ● Autoaggiornante ● Enumerazione temi e plugin ● Verifica versioni e obsolescenza ● Brute force User e Password
  • 17. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Documentarsi sulle vulnerablità ● Una volta trovate le vulnerabilità è più facile e opportuno documentarsi in maniera puntuale su: – Cosa sono – Come vengono sfruttate – Come posso mitigarle ● Google è sempre vostro amico
  • 18. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Validate il vostro firewall ● VA da fuori e da dentro ● Fuori <> Internet (it’s not your home) ● Risultati diversi → firewall e policy efficaci ● Risultati uguali → stai sbagliando qualcosa – Ad esempio sbagli nel pernsare che hai un firewall o sbagli ad averlo comprato.
  • 19. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Il loro ultimo miglio ● E’ importante proteggere il nostro sito e il nostro server ma non è tutto ● Integrità e Confidenzialità sono delle tematiche end-to-end ● Dobbiamo far qualcosa per proteggere anche i nostri utenti/clienti CC0 https://pxhere.com/en/photo/10261 73
  • 20. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it SSL ● Proteggere TUTTO il nostro sito con HTTPS permette di preservare confidenzialità e integrità ● Scelta algoritmi sicuri ● HSTS (https strict) ● X-frame-protection
  • 21. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it HTTP security headers – Forzare l’accesso al sito solo via SSL: ● Strict-Transport-Security: max-age=15768000 – Bloccare il/i certificati usati dal proprio sito (certificate pinning) ● !!!! Rischio di tagliarsi fuori i propri utenti – Controllo dell’incorporamento della propria pagina all’interno di siti terzi con le direttive <frame>, <iframe> o <object>: ● X-Frame-Options: deny ● X-Frame-Options: sameorigin ● X-Frame-Options: allow-from https://example.com/
  • 22. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Tecnologie di protezione aggiornate ● Tutto questo impatta anche sulla disponibilità in quanto motori di ricerca e browser estromettono in maniera molto aggiornata i siti non compliant dall’esperienza utente.
  • 23. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Al lupo, al lupo! ● Installare certificati Trusted ● Installarli correttamente ● Verificare la CA Chain – https://www.digicert.com/help/
  • 24. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Cosa altro possiamo fare ● Costo di intervento maggiore – Mod-Security web application firewall – Interventi manuali o semi automatici su ● SQL Injection ● Input validation ● … – Secure web programming https://www.owasp.org/
  • 25. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Wrap-Up ● Abbiamo: – capito in che contesto lavoriamo – approfondito alcuni dei principali rischi – appreso l’esistenza di strumenti semplici e liberi – appreso cosa mettere in campo e in che contesto per ottenere... – Ragionevole (plausibile) Sicurezza
  • 26. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Domande ... risposte Finger face with a question. CC-BY 2.0 Tsahi Levent-Levi
  • 27. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Credits ● jekil - Post Exploitation: Be Bad Guys ● Nation State Post Exploitation - Alessandro 'jekil' Tanasi ● Daniele Albrizio – Corso di sicurezza base workshop garr 2017
  • 28. Polo Giovani Toti Sabato 27 ottobre 2018 CopyLeft 2018 – Daniele Albrizio daniele@albrizio.it Licenza d'uso di questo documento Quest'opera è stata rilasciata sotto la licenza Creative Commons Attribuzione-Condividi allo stesso modo 2.5. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/publicdomain/ o spedisci una lettera a Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.