Più della metà delle applicazioni Web attualmente disponibili sul mercato non offre sufficienti livelli di sicurezza, mettendo così a rischio i dati di milioni di utenti. Lo sostiene la società Veracode che ha presentato i dati di un apposito studio da essa condotto su 2.900 applicazioni che sono state monitorate per 18 mesi tramite la piattaforma cloud Veracode SecurityReview.
Ben il 57% delle applicazioni analizzate non ha infatti superato i test di Veracode, dimostrando lacune più o meno evidenti a livello di codice che potrebbero favorire degli attacchi.
Continua »
Sono online le presentazioni in formato Power Point dell’evento OWASP Day III dal titolo “Web Application Security: research meets industry”, che si è svolto il 23 febbraio 2009, presso l’Università degli Studi di Bari.
L’incontro è stato organizzato da OWASP (The Open Web Application Security Project), un’organizzazione animata da professionisti il cui scopo principale è la redazione di linee guida per lo sviluppo e il testing delle applicazioni Web e l’implementazione di tool a supporto per la sicurezza delle applicazioni.
Qui di seguito, riportiamo per comodità i link alle presentazioni:
Continua »
Il 23 febbraio 2009, presso l’Università degli Studi di Bari, si svolgerà l’evento OWASP Day III dal titolo “Web Application Security: research meets industry”.
L’incontro è organizzato da OWASP (The Open Web Application Security Project), un’organizzazione animata da professionisti il cui scopo principale è la redazione di linee guida per lo sviluppo e il testing delle applicazioni Web e l’implementazione di tool a supporto per la sicurezza delle applicazioni.
La conferenza rappresenta una giornata di dibattito sulla Web Application Security, ed è organizzata con interventi tecnici e di alto livello tenuti da autorevoli professionisti del mondo Accademico e Aziendale che relazioneranno sulle seguenti tematiche:
Continua »
XSS (Cross Site Scripting) è una particolare vulnerabilità che affligge le Web Application e fa leva sulla errata validazione delle variabili per iniettare nella pagina web codice html o javascript, con lo scopo di impossessarsi delle informazioni personali dell’utente come i cookie o indirizzare lo stesso verso siti realizzati ad HOC simulando interi portali con l’intento di sottrarre al malcapitato le credenziali di accesso.
Questo tipo di vulnerabilità può essere suddivisa in tre tipologie:
Tipo 1: l’attaccante inoltra alla vittima un URL errato contenente la vulnerabilità XSS; questa vulnerabilità non è persistente ovvero viene generata occasionalmente ad ogni accesso al suddetto link.
Continua »
Quanto è utile tener traccia delle operazioni critiche nelle web application? Ne parlano Rohit Sethi e Nish Bhalla in un articolo su Securityfocus nel quale espongono l’elevata importanza che questi strumenti di monitoraggio offrono; essi consentono infatti un’analisi quasi immediata in caso di attacco web per carpirne informazioni utili per risalire all’attacker (ora, IP, browser) e alla vulnerabilità (DOS, SQL Injection).
Migliaia di righe di debug registrate su memorie di massa da analizzare in fase di troubleshooting, problemi che spesso sistemi di IDS/IPS non sono in grado di individuare o prevenire; inoltre l’utilizzo di tool come “Samwill Log Analysys” atti ad analizzare pattern attack su file log di grandi dimensioni, è incoraggiato dagli autori stessi.
Continua »
Tamperdata è un add-on per il browser Firefox, scritto da Adam Judson utile a tutti coloro i quali effettuano penetration test su web application.
Il tool, infatti, consente di tracciare e manipolare tutte le richieste (GET/POST) dirette a un sito internet al fine di modificarne i parametri, verificando così eventuali bug presenti nelle applicazioni web.
Per ciascuna richiesta web, Tamperdata avvertirà l’utente di poter modificarne il contenuto.
Le informazioni di base modificabili sono: User-Agent, Cookie, Host and Keep-alive, ecc…; se ci troviamo davanti a una pagina di autenticazione, per esempio, sono inoltre modificabili i parametri login e password.
Continua »
