Gli esperti di sicurezza del progetto OWASP, acronimo per Open Web Application Security Project, hanno aggiornato la lista delle 10 vulnerabilità più diffuse in ambito di Web applications.

Questa “Top Ten List” del 2010 segue quelle precedentemente pubblicate rispettivamente nel 2004 e nel 2007.

Dave Wichers, membro del consiglio OWASP, ha confermato che in questa nuova edizione ci si è concentrati anche su una analisi dei potenziali rischi e non solo ad una mera lista di possibili vulnerabilità.

Continua »

Il sito online di Kasperski USA è stato violato grazie ad una falla nel suo database. Secondo quanto riferito dall’hacker responsabile della scoperta, il sito del noto produttore di software per la sicurezza sarebbe stato facilmente attaccabile tramite un banale attacco di tipo SQL Injection.

La vulnerabilità è stato confermata dalla stessa Kaspersky, che però ha minimizzato il “guaio” specificando che il problema non fosse presente in tutto il sito, ma solo in una sua sezione. La falla è stato “turata” in meno di mezz’ora dalla segnalazione originale, anche se non è noto per quanto tempo il sito sia stato realmente esposto.

Continua »

È in edicola il numero di Giugno della rivista mensile, Hakin9, di cui abbiamo parlato per la prima volta il mese scorso.

Tra gli argomenti trattati segnaliamo un approfondimento su SQL Injection, tecnica di exploiting delle Web application che utilizzano dati provenienti dai client nelle query, senza controllare la presenza di caratteri potenzialmente pericolosi.

Inoltre c’è un interessante articolo in cui vengono date alcune indicazioni per effettuare un’analisi dei rischi di un sistema domestico al fine di capire cosa e come proteggere.

Continua »

Alcuni ricercatori dell’Internet Storm Center dell’istituto SANS hanno recentemente identificato un eseguibile che nelle ultime settimane ha infettato migliaia di siti Web, sui quali è stato inserito del codice malevolo che poi viene installato sul PC del visitatore del sito stesso.

Dalla ricerca, sembra che l’eseguibile sia stato studiato in modo tale da effettuare in modo automatico attacchi di tipo SQL Injection ai danni di siti vulnerabili ad alcune ricerche.

Inoltre, sembra che il tool sia stato scritto in origine da un gruppo di hacker cinesi e dia la possibilità all’attaccante di scegliere quali tag HTML inserire nella pagina del sito attaccato.

Continua »

Wordpress 2.5, l’ultima versione della più famosa e diffusa piattaforma per blog, Wordpress, è stata rilasciata poche settimane fa, ma già vengono segnalati (tra i primissimi Techjam) i primi due exploit per Wordpress 2.5.

Il primo exploit consente ad un utente, registrato su WordPress, di creare un nuovo utente nonostante non abbia i permessi per modificare gli altri utenti.

Continua »

Dopo il successo del primo incontro, è stato istituito il secondo OWASP (Open Web Application Security Project, di cui abbiamo parlato recentemente) Day, presso Centro Congressi dell’Università di Roma “La Sapienza”. La preparazione dell’evento è stata seguita dal gruppo di sicurezza del Dipartimento di Informatica dell’Università “La Sapienza”.

La partecipazione è gratuita, previa iscrizione tramite mail come indicato nella sezione italiana del sito ufficiale.

Continua »

Siamo già in piena campagna elettorale per le elezioni del 13/14 Aprile e, se da una parte i toni sono più pacati rispetto al passato, dall’altra lo “scontro” si sposta su un altro fronte: la sicurezza dei siti dei partiti.

Tutto ha inizio da un post apparso sul blog di Roberto Scaccia, il quale scopre e segnala un grave baco di sicurezza sul sito del Partito Democratico: era possibile accedere al file di configurazione della web application in cui era visibile in chiaro la password dell’utente del database (che fortunatamente non era accessibile comunque dall’esterno). Il problema è stato risolto nel giro di un paio di giorni.

Continua »