Clik here to view.
Nozioni basilari di (in)sicurezza delle applicazioni Web – Parte 7 – Code...
Permettere ad un utente di eseguire codice su un programma o su un’applicazione web è una delle operazioni più sensibili che si possano permettere allo stesso. Non bisogna mai fidarsi dell’input e deve...
View ArticleClik here to view.
Da WordPress a root con Hackademic
Imparare a sfruttare le vulnerabilità su macchine di prova permette di potersi allenare e poter, in un futuro, riuscire a trovarle su dispositivi reali, con tutte le difficoltà collegate ad esse. In...
View ArticleClik here to view.
Nozioni basilari di (in)sicurezza delle applicazioni Web – Parte 8 – Command...
Permettere ad un utente di eseguire codice su un programma o su un’applicazione web è una delle operazioni più sensibili che si possano permettere allo stesso. Non bisogna mai fidarsi dell’input e deve...
View ArticleClik here to view.
Drunk Admin Web Challenge
La sfida di Drunk Admin Web Challenge consiste nel trovare il messaggio che Bob ha inviato ad Alice. L’applicazione (un servizio di image hosting) include una serie di vulnerabilità e livelli che...
View ArticleClik here to view.
Imparare ad analizzare il traffico di rete con Malware-Traffic
Sapere leggere il traffico internet è una capacità fondamentale per riuscire ad analizzare al meglio i malware, per debuggare software o anche solo per capire come funziona fisicamente e...
View ArticleClik here to view.
Cosa è e come funziona il Pay-per-Install e la distribuzione dei Malware
Quotidianamente vediamo mail di spam, software con all’interno altri software auto-installanti (come falsi Antivirus, servizi di pop-up e altre menate simili). Ma chi o cosa c’è dietro questo malato...
View ArticleClik here to view.
Google Bouncer e la protezione del Play Store contro i Malware
Android è il sistema operativo open più diffuso al mondo, con una percentuale di utilizzo che supera il 60% tra tutti i sistemi per smartphone al mondo. Come qualsiasi dispositivo mobile, presenta...
View ArticleClik here to view.
Nozioni basilari di (in)sicurezza delle applicazioni Web – Parte 9 – Attacchi...
LDAP (Lightweight Directory Access Protocol) è un protocollo per accedere a dei servizi di directory, ad esempio un elenco aziendale di email o una rubrica telefonica. Esso include solitamente anche un...
View ArticleClik here to view.
HackDay Albania
Il confine tra un sistema sicuro e uno insicuro è, nella maggior parte dei casi, molto labile, separato solo da un filtraggio mancante, una password poco sicura, un permesso errato. Ed è proprio a...
View ArticleClik here to view.
Raccogliere informazioni in un’applicazione web
Ottenere più informazioni possibili da un’applicazione web è un passaggio fondamentale al fine di trovare vulnerabilità nella stessa. Nella fase di Information Gathering bisogna preoccuparsi di...
View ArticleClik here to view.
Analizzare il protocollo NTP
NTP è un protocollo client-server designato alla sincronizzazione degli orologi dei computer interni ad una rete. In una rete aziendale è molto probabile trovare un dispositivo che ha il servizio...
View ArticleClik here to view.
Breve pausa vol. 2
Come l’anno scorso, con l’arrivo dell’estate (e del caldo) il numero di post ha iniziato a calare, per cui è tempo di una breve pausa per riassestare le idee, produrre nuovi articoli e soprattutto...
View ArticleClik here to view.
Attacchi Side-Channel
Gli attacchi a canale laterale utilizzano fughe non intenzionali di informazioni riguardanti il consumo di energia, il tempo di esecuzione o le radiazioni elettromagnetiche per compromettere la...
View ArticleClik here to view.
Enumerazione SMTP
Simple Mail Transfer Protocol è il protocollo standard utilizzato per la trasmissione via internet di e-mail. Durante una scansione delle porte di un server è facile trovare il servizio aperto, ma non...
View ArticleClik here to view.
Cookies e tracciamento di terze parti
Sabato 28 si è tenuta L’edizione 2017 del Linux Day, quest’anno dedicata alla privacy e alla riservatezza individuale. Perché tutti abbiamo qualcosa da nascondere: i fatti nostri. Il Linux Day è una...
View ArticleClik here to view.
Vulnerabilità Open Redirect
Recentemente sono incappato in un sito abbastanza noto che presenta una vulnerabilità di redirezione automatica aperta e consentiva, con opportuno link, di redirezionare l’utente vittima in qualunque...
View ArticleClik here to view.
Creare Android Virtual Device da terminale
Nell’articolo Creare sistema ad-hoc per analizzare applicazioni Android avevo introdotto l’analisi di applicazioni sfruttando le immagini messe a disposizione da Google per la creazione di macchine...
View ArticleClik here to view.
Analizzare con bash lunghe liste di siti via terminale
Quando si ha a che fare con lunghe liste di domini e sottodomini, è utile trovare il modo per velocizzare la procedura di verifica dell’esistenza del sito e dei servizi che offre lo stesso. Ciò che, da...
View ArticleClik here to view.
Passi da seguire per una corretta e responsabile Vulnerability Disclosure
Ieri diverse testate hanno fatto sapere che Evariste Gal0is è formalmente indagato con l’accusa di accesso abusivo a sistema informatico, a causa della disclosure fatta ai danni del M5S l’estate...
View ArticleClik here to view.
Cosa è e come funziona un attacco Denial of Service
In questo articolo andremo a trattare un argomento che non ho mai approfondito, sia a causa di poco interesse, sia a causa del fatto che è una metodologia di attacco che poco si addice ad un hacking...
View Article