SlideShare ist ein Scribd-Unternehmen logo

La sicurezza delle Web Application - SMAU Business Bari 2013

Als PPTX, PDF herunterladen
Massimo Chirivì
Massimo Chirivì

Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.

Technologie
1 von 30
LA SICUREZZA DELLE WEB APPLICATION Massimo Chirivì LA SICUREZZA DELLE WEB APPLICATION
Sommario • Presentazione • Ethical Hacking • Information Gathering • Fingerprinting Web Server • Subdomain Enumeration • Virtual Hosting • Fingerprinting Frameworks and Application • Resource Enumeration LA SICUREZZA DELLE WEB APPLICATION
Chi sono • Dal 1988 con la passione dell’informatica • Dal 1996 al servizio delle aziende per lavoro • Dal 1998 al servizio della P.A. per il bene di tutti • Dal 2010 in una delle più grandi aziende ICT d’Italia. Di cosa mi occupo - Information Security - System Administrator - Ethical Hacking Condividere è un dovere etico… La condivisione è conoscenza. LA SICUREZZA DELLE WEB APPLICATION
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Associazione Capitolo di singoli Italiano di professionisti ISSA Oltre 10.000 esperti in 200 soci in tutto il Italia mondo LA SICUREZZA DELLE WEB APPLICATION
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche LA SICUREZZA DELLE WEB APPLICATION
Ethical Hacking • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati. • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro. • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. • L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo. LA SICUREZZA DELLE WEB APPLICATION
Information Gathering - Rappresenta la fase della raccolta di informazioni. Quante più ne abbiamo meglio valuteremo la sicurezza dell’applicazione web. Quindi bisogna organizzare le informazioni in modo corretto. - E’ la fase più importante del penetration test. - Durante le fasi successive potrebbe servire qualsiasi particolare. NON CI SONO INFORMAZIONI NON NECESSARIE! LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Web Server • Dobbiamo analizzare l’infrastruttura, cioè tutto quello che c’è sul server per permettere il corretto funzionamento dell’applicazione web – Server Web (Apache, IIS, Tomcat) – Sistema operativo (Windows, Linux) – DB ( Sql server, Mysql, Oracle, PG) – Moduli rewrite (Rewrite x Apache – Isapi o Ionic Elicon x IIS) – Modulo security – Linguaggi utilizzati (PHP, Javascript, ASP, ASP.NET, Java) – Librerie e script utilizzati (Jquery – Mootools) – Flash LA SICUREZZA DELLE WEB APPLICATION
Subdomain Enumeration Bisogna trovare tutti i sottodomini situati all’interno di un dominio? 1) Ampliare la superficie di attacco 2) Rilevare pannelli di gestione backend 3) Applicazione web situato sul 3° livello Come? • Netcraft • Subdomainer.py • Google o Bing (metodo più utilizzato) • Crawling o Brute Force (Burp Suite) • Zone Transfers (utility DIG o Nslookup) LA SICUREZZA DELLE WEB APPLICATION
Subdomain Enumeration C:nslookup  Server [nameserver]  Ls –d domain.com Oppure con bing.com LA SICUREZZA DELLE WEB APPLICATION
Virtual Hosting L'Hosting virtuale è un metodo usato sui server web per ospitare il sito web per più di un nome di dominio sullo stesso server, oppure ospitare diversi siti web, talvolta sullo stesso indirizzo IP. Vi sono diverse tecniche di virtual hosting, con diverse limitazioni. Attenzione! Il server è configurato con un solo indirizzo IP, a cui sono associati i nomi DNS di tutti i siti ospitati. Quando il server riceve una richiesta HTTP, legge l'hostname richiesto e decide di conseguenza quale dominio servire. Questo permette di utilizzare un solo indirizzo IP per molti siti utilizzando porte TCP standard e URL senza la specifica della porta. Questa tecnica è comunemente usata da providers di spazio web per siti internet. Hostmap è il tool più utilizzato LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle COTS: 1) Gran parte del web è realizzato con questo tipo di applicazioni (Joomla, Wordpress, Magento, Virtuemart, Alfresco, Liferay, ecc.ecc.) 2) Può essere sia commerciale che open source 3) Il codice sorgente è disponibile a tutti, anche ai malitenzionati! 4) Gli add-on o componenti aggiuntivi sono scritti non sempre in maniera corretta e contengono molte vulnerabilità 5) La ricerca su internet delle vulnerabilità e degli exploit è alcune volte banale. Come? JoomScan  http://sourceforge.net/projects/joomscan/ Secunia Database x verificare la vulnerabilità BurpSuite x crawling del sito web Osservare HTML con attenzione Osservare banner, footer, header Live http Headers for Firefox Browser Osservare gli URL: index.php?option=%component_name%&task=%xxx%&task=%value% LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle CUSTOM Primo passo  Studiare la logica dell’applicazione! 1. A cosa serve? 2. Consente la registrazione degli utenti? 3. Ha un pannello di amministrazione? 4. Accetta input dall’utente? 5. Che tipo di input accetta? 6. Accetta upload di file? 7. Usa Javascript, flash, ecc.ecc. 8. Ci sono applicazioni cablate nell’applicazione custom? LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Frameworks and Application Analizziamo la superficie di attacco  Convalida lato client oppure lato server  Sql injection  Logica dell’applicazione errata  Cross Site Scripting  Interazione con il database  Sql injection  Upload di file  Che tipo di files posso caricare  Visualizzazione dei dati  Cross Site Scripting  Reindirizzamenti  HTTP response splitting  Pagine di Login  Bypassare il login (Sessions e cookies non gestiti correttamente)  Bruteforce  Messaggi di errore  Informazioni importanti sulla struttura dell’applicazione o del DB. LA SICUREZZA DELLE WEB APPLICATION
Resource Enumeration • Crawling/Spider del sito web (ad esempio: BURPSUITE) • DirBuster Differenze tra uno Spider e DirBuster? - Il crawling del sito web si effettuà con gli spider e quindi è basato sui link e sui form. - DirBuster è progetto Owasp con lo scopo di andare a scoprire tutti quei file e quelle cartelle presenti in un sito web, che volutamente si vogliono nascondere da occhi indiscreti. Questo approccio è conosciuto come security by obscurity ed è uno degli approcci più sbagliati e più controproducenti che un web developer possa seguire. LA SICUREZZA DELLE WEB APPLICATION
Resource Enumeration • Attenzione ai file rinominati lasciati dallo sviluppatore sul server, ad esempio il file configuration.php di Joomla che si potrebbe trovare come configuration.bak o .old • Attenzione ad altri files importanti rinominati per errore e quindi interpretati come file di testo e non dal server • Se il motore è IIS con ASP quasi sicuramente ci saranno file .inc che venivano utilizzati per essere inclusi in file ASP • Directory listing • Opzioni HTTP (PUT permesso) put /images/attacco.php http/1.1 content-lenght:xxx[invio] Content html [invio] [invio] Il file è creato è può essere richiamato da browser LA SICUREZZA DELLE WEB APPLICATION
Resource Enumeration Google Hacking http://johnny.ihackstuff.com/ghdb/ http://www.googleguide.com/advanced_operators.html Ad esempio Filetype=‘’bak’’ Filetype=‘’inc’’ E aggiungendo: site:www.target.com Gli operatori presenti sulla guida avanzata di Google sono centinaia! LA SICUREZZA DELLE WEB APPLICATION
Iniziamo con un po’ di pratica. Quali sono le informazioni che cerchiamo? 1) Dati dell’organizzazione 2) IP, domini e sottodomini 3) Infrastruttura (Server, CMS, Framework, Database) 4) Logica dell’applicazione 5) Host virtuali sul server 6) La struttura dell’applicazione 7) File nascosti nell’applicazione 8) Username & Password LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
I primi risultati: LA SICUREZZA DELLE WEB APPLICATION
Approfondiamo il netblock sul db RIPE LA SICUREZZA DELLE WEB APPLICATION
Approfondiamo i record DNS con nslookup C:Usersmassimo.chirivi>nslookup DNS request timed out. > sviluppoeconomico.gov.it timeout was 2 seconds. Server: [151.99.125.2] Server predefinito: UnKnown Address: 151.99.125.2 Address: fe80::88f0:f3d6:3c8b:26eb Risposta da un server non autorevole: Nome: sviluppoeconomico.gov.it > sviluppoeconomico.gov.it Address: 88.49.250.35 Server: UnKnown Address: fe80::88f0:f3d6:3c8b:26eb > server ns1.sviluppoeconomico.gov.it Server predefinito: ns1.sviluppoeconomico.gov.it DNS request timed out. Address: 88.49.250.35 timeout was 2 seconds. > sviluppoeconomico.gov.it DNS request timed out. Server: ns1.sviluppoeconomico.gov.it timeout was 2 seconds. Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. Nome: sviluppoeconomico.gov.it Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. *** Tempo scaduto per la richiesta a UnKnown > server 151.99.125.2 DNS request timed out. timeout was 2 seconds. Server predefinito: [151.99.125.2] Address: 151.99.125.2 LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
Una sorpresa dopo 1 ora di lavoro Se digitiamo sul browser: http:// vcse.sviluppoeconomico.gov.it Ricercare vulnerabilità sul web User & Password di default Brute Force sul form LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
Grazie per l’attenzione www.massimochirivi.net info@massimochirivi.net Facebook Skype: mchirivi Linkedin Sito smau – www.smau.it Sito AIPSI -- www.aipsi.org Studia, prova, amplia, ricerca, analizza, migliora … … condividi con gli altri anche tu … sempre con il cappello bianco LA SICUREZZA DELLE WEB APPLICATION

Empfohlen

SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?
SMAU
 
Linux Day2005
Linux Day2005Linux Day2005
Linux Day2005
Emmanuele Bello
 
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Silvia Cariello
 
Hosting wordpress ssd
Hosting wordpress ssdHosting wordpress ssd
Hosting wordpress ssd
rockethosting
 
Presentazione prodotti Cyberoam
Presentazione prodotti CyberoamPresentazione prodotti Cyberoam
Presentazione prodotti Cyberoam
Team Sistemi
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
jekil
 
I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filtering
mmarcuzzi
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Pawel Zorzan Urban
 

Empfohlen

SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?
SMAU
 
Linux Day2005
Linux Day2005Linux Day2005
Linux Day2005
Emmanuele Bello
 
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Silvia Cariello
 
Hosting wordpress ssd
Hosting wordpress ssdHosting wordpress ssd
Hosting wordpress ssd
rockethosting
 
Presentazione prodotti Cyberoam
Presentazione prodotti CyberoamPresentazione prodotti Cyberoam
Presentazione prodotti Cyberoam
Team Sistemi
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
jekil
 
I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filtering
mmarcuzzi
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Pawel Zorzan Urban
 
Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015
Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015
Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015
Codemotion
 
Lucierna - Application Performance Manager - APM
Lucierna - Application Performance Manager - APMLucierna - Application Performance Manager - APM
Lucierna - Application Performance Manager - APM
Alessandro Salvatico
 
Rinnovabili e circular economy: visioni e scenari di sviluppo
Rinnovabili e circular economy: visioni e scenari di sviluppoRinnovabili e circular economy: visioni e scenari di sviluppo
Rinnovabili e circular economy: visioni e scenari di sviluppo
Italeaf S.p.A.
 
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnica
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnicaInternet delle cose (IoT), realtà aumentata (AR) e documentazione tecnica
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnica
KEA s.r.l.
 
Internet of Things, a che punto siamo?
Internet of Things, a che punto siamo?Internet of Things, a che punto siamo?
Internet of Things, a che punto siamo?
Antonio Pintus
 
Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...
Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...
Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...
IoT DESIR
 
Arduino to build a temperature graph on Azure
Arduino to build a temperature graph on AzureArduino to build a temperature graph on Azure
Arduino to build a temperature graph on Azure
Angelo Gino Varrati
 
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...
Jürgen Ambrosi
 
Emanuela Pala: Internet of Things & Smart Agriculture
Emanuela Pala: Internet of Things & Smart Agriculture Emanuela Pala: Internet of Things & Smart Agriculture
Emanuela Pala: Internet of Things & Smart Agriculture
Tech and Law Center
 
Internet of Things e rivoluzione della manifattura
Internet of Things e rivoluzione della manifatturaInternet of Things e rivoluzione della manifattura
Internet of Things e rivoluzione della manifattura
Massimo Zanardini
 
Internet of Things: mercato, tecnologie, applicazioni e competenze
Internet of Things: mercato, tecnologie, applicazioni e competenzeInternet of Things: mercato, tecnologie, applicazioni e competenze
Internet of Things: mercato, tecnologie, applicazioni e competenze
Armando Martin
 
CloudFlow - Progetti CRM su Cloud Computing
CloudFlow - Progetti CRM su Cloud ComputingCloudFlow - Progetti CRM su Cloud Computing
CloudFlow - Progetti CRM su Cloud Computing
CloudFlow
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
claudiodigiovanni
 
Tesina Grupposis
Tesina GrupposisTesina Grupposis
Tesina Grupposis
Luca Mengoni
 
EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)
Euery
 
Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSec
Paolo Stagno
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
WordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWAWordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWA
FrancescoGiammanco1
 
Meetup Progressive Web App
Meetup Progressive Web AppMeetup Progressive Web App
Meetup Progressive Web App
dotnetcode
 
Meetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web AppMeetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web App
dotnetcode
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
Gianni Amato
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
IBM Italia Web Team
 

Weitere ähnliche Inhalte

Andere mochten auch

Lucierna - Application Performance Manager - APM
Lucierna - Application Performance Manager - APMLucierna - Application Performance Manager - APM
Lucierna - Application Performance Manager - APM
Alessandro Salvatico
 
Emanuela Pala: Internet of Things & Smart Agriculture
Emanuela Pala: Internet of Things & Smart Agriculture Emanuela Pala: Internet of Things & Smart Agriculture
Emanuela Pala: Internet of Things & Smart Agriculture
Tech and Law Center
 

Andere mochten auch (12)

Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015
Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015
Daniele Dellafiore - No-Backend Web Architecture | Codemotion Milan 2015
 
Lucierna - Application Performance Manager - APM
Lucierna - Application Performance Manager - APMLucierna - Application Performance Manager - APM
Lucierna - Application Performance Manager - APM
 
Rinnovabili e circular economy: visioni e scenari di sviluppo
Rinnovabili e circular economy: visioni e scenari di sviluppoRinnovabili e circular economy: visioni e scenari di sviluppo
Rinnovabili e circular economy: visioni e scenari di sviluppo
 
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnica
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnicaInternet delle cose (IoT), realtà aumentata (AR) e documentazione tecnica
Internet delle cose (IoT), realtà aumentata (AR) e documentazione tecnica
 
Internet of Things, a che punto siamo?
Internet of Things, a che punto siamo?Internet of Things, a che punto siamo?
Internet of Things, a che punto siamo?
 
Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...
Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...
Etica e Internet of Things, Andrea Mameli (CRS4), workshop progetto IoT Desir...
 
Arduino to build a temperature graph on Azure
Arduino to build a temperature graph on AzureArduino to build a temperature graph on Azure
Arduino to build a temperature graph on Azure
 
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...
2° Sessione Oracle - CRUI: Internet of Things in a Real-World, Use Cases and ...
 
Emanuela Pala: Internet of Things & Smart Agriculture
Emanuela Pala: Internet of Things & Smart Agriculture Emanuela Pala: Internet of Things & Smart Agriculture
Emanuela Pala: Internet of Things & Smart Agriculture
 
Internet of Things e rivoluzione della manifattura
Internet of Things e rivoluzione della manifatturaInternet of Things e rivoluzione della manifattura
Internet of Things e rivoluzione della manifattura
 
Internet of Things: mercato, tecnologie, applicazioni e competenze
Internet of Things: mercato, tecnologie, applicazioni e competenzeInternet of Things: mercato, tecnologie, applicazioni e competenze
Internet of Things: mercato, tecnologie, applicazioni e competenze
 
CloudFlow - Progetti CRM su Cloud Computing
CloudFlow - Progetti CRM su Cloud ComputingCloudFlow - Progetti CRM su Cloud Computing
CloudFlow - Progetti CRM su Cloud Computing
 

Ähnlich wie La sicurezza delle Web Application - SMAU Business Bari 2013

Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSec
Paolo Stagno
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
Gianni Amato
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
IBM Italia Web Team
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Par-Tec S.p.A.
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web Applications
Marco Morana
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
Massimo Chirivì
 

Ähnlich wie La sicurezza delle Web Application - SMAU Business Bari 2013 (20)

Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Tesina Grupposis
Tesina GrupposisTesina Grupposis
Tesina Grupposis
 
EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)
 
Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSec
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
WordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWAWordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWA
 
Meetup Progressive Web App
Meetup Progressive Web AppMeetup Progressive Web App
Meetup Progressive Web App
 
Meetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web AppMeetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web App
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
 
Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
 
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web Applications
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e Difesa
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
 

Mehr von Massimo Chirivì

Social Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR YearSocial Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR Year
Massimo Chirivì
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.
Massimo Chirivì
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
Massimo Chirivì
 

Mehr von Massimo Chirivì (13)

Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019
 
DHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioniDHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioni
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 
Social Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR YearSocial Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR Year
 
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014
 
Il Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroIl Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuro
 
SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSI
 
Adolescenti salentini e social network
Adolescenti salentini e social networkAdolescenti salentini e social network
Adolescenti salentini e social network
 
SMAU 2011 Bari
SMAU 2011 BariSMAU 2011 Bari
SMAU 2011 Bari
 

La sicurezza delle Web Application - SMAU Business Bari 2013

  • 1. LA SICUREZZA DELLE WEB APPLICATION Massimo Chirivì LA SICUREZZA DELLE WEB APPLICATION
  • 2. Sommario • Presentazione • Ethical Hacking • Information Gathering • Fingerprinting Web Server • Subdomain Enumeration • Virtual Hosting • Fingerprinting Frameworks and Application • Resource Enumeration LA SICUREZZA DELLE WEB APPLICATION
  • 3. Chi sono • Dal 1988 con la passione dell’informatica • Dal 1996 al servizio delle aziende per lavoro • Dal 1998 al servizio della P.A. per il bene di tutti • Dal 2010 in una delle più grandi aziende ICT d’Italia. Di cosa mi occupo - Information Security - System Administrator - Ethical Hacking Condividere è un dovere etico… La condivisione è conoscenza. LA SICUREZZA DELLE WEB APPLICATION
  • 4. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Associazione Capitolo di singoli Italiano di professionisti ISSA Oltre 10.000 esperti in 200 soci in tutto il Italia mondo LA SICUREZZA DELLE WEB APPLICATION
  • 5. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche LA SICUREZZA DELLE WEB APPLICATION
  • 6. Ethical Hacking • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati. • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro. • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. • L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo. LA SICUREZZA DELLE WEB APPLICATION
  • 7. Information Gathering - Rappresenta la fase della raccolta di informazioni. Quante più ne abbiamo meglio valuteremo la sicurezza dell’applicazione web. Quindi bisogna organizzare le informazioni in modo corretto. - E’ la fase più importante del penetration test. - Durante le fasi successive potrebbe servire qualsiasi particolare. NON CI SONO INFORMAZIONI NON NECESSARIE! LA SICUREZZA DELLE WEB APPLICATION
  • 8. Fingerprinting Web Server • Dobbiamo analizzare l’infrastruttura, cioè tutto quello che c’è sul server per permettere il corretto funzionamento dell’applicazione web – Server Web (Apache, IIS, Tomcat) – Sistema operativo (Windows, Linux) – DB ( Sql server, Mysql, Oracle, PG) – Moduli rewrite (Rewrite x Apache – Isapi o Ionic Elicon x IIS) – Modulo security – Linguaggi utilizzati (PHP, Javascript, ASP, ASP.NET, Java) – Librerie e script utilizzati (Jquery – Mootools) – Flash LA SICUREZZA DELLE WEB APPLICATION
  • 9. Subdomain Enumeration Bisogna trovare tutti i sottodomini situati all’interno di un dominio? 1) Ampliare la superficie di attacco 2) Rilevare pannelli di gestione backend 3) Applicazione web situato sul 3° livello Come? • Netcraft • Subdomainer.py • Google o Bing (metodo più utilizzato) • Crawling o Brute Force (Burp Suite) • Zone Transfers (utility DIG o Nslookup) LA SICUREZZA DELLE WEB APPLICATION
  • 10. Subdomain Enumeration C:nslookup  Server [nameserver]  Ls –d domain.com Oppure con bing.com LA SICUREZZA DELLE WEB APPLICATION
  • 11. Virtual Hosting L'Hosting virtuale è un metodo usato sui server web per ospitare il sito web per più di un nome di dominio sullo stesso server, oppure ospitare diversi siti web, talvolta sullo stesso indirizzo IP. Vi sono diverse tecniche di virtual hosting, con diverse limitazioni. Attenzione! Il server è configurato con un solo indirizzo IP, a cui sono associati i nomi DNS di tutti i siti ospitati. Quando il server riceve una richiesta HTTP, legge l'hostname richiesto e decide di conseguenza quale dominio servire. Questo permette di utilizzare un solo indirizzo IP per molti siti utilizzando porte TCP standard e URL senza la specifica della porta. Questa tecnica è comunemente usata da providers di spazio web per siti internet. Hostmap è il tool più utilizzato LA SICUREZZA DELLE WEB APPLICATION
  • 12. Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle COTS: 1) Gran parte del web è realizzato con questo tipo di applicazioni (Joomla, Wordpress, Magento, Virtuemart, Alfresco, Liferay, ecc.ecc.) 2) Può essere sia commerciale che open source 3) Il codice sorgente è disponibile a tutti, anche ai malitenzionati! 4) Gli add-on o componenti aggiuntivi sono scritti non sempre in maniera corretta e contengono molte vulnerabilità 5) La ricerca su internet delle vulnerabilità e degli exploit è alcune volte banale. Come? JoomScan  http://sourceforge.net/projects/joomscan/ Secunia Database x verificare la vulnerabilità BurpSuite x crawling del sito web Osservare HTML con attenzione Osservare banner, footer, header Live http Headers for Firefox Browser Osservare gli URL: index.php?option=%component_name%&task=%xxx%&task=%value% LA SICUREZZA DELLE WEB APPLICATION
  • 13. Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle CUSTOM Primo passo  Studiare la logica dell’applicazione! 1. A cosa serve? 2. Consente la registrazione degli utenti? 3. Ha un pannello di amministrazione? 4. Accetta input dall’utente? 5. Che tipo di input accetta? 6. Accetta upload di file? 7. Usa Javascript, flash, ecc.ecc. 8. Ci sono applicazioni cablate nell’applicazione custom? LA SICUREZZA DELLE WEB APPLICATION
  • 14. Fingerprinting Frameworks and Application Analizziamo la superficie di attacco  Convalida lato client oppure lato server  Sql injection  Logica dell’applicazione errata  Cross Site Scripting  Interazione con il database  Sql injection  Upload di file  Che tipo di files posso caricare  Visualizzazione dei dati  Cross Site Scripting  Reindirizzamenti  HTTP response splitting  Pagine di Login  Bypassare il login (Sessions e cookies non gestiti correttamente)  Bruteforce  Messaggi di errore  Informazioni importanti sulla struttura dell’applicazione o del DB. LA SICUREZZA DELLE WEB APPLICATION
  • 15. Resource Enumeration • Crawling/Spider del sito web (ad esempio: BURPSUITE) • DirBuster Differenze tra uno Spider e DirBuster? - Il crawling del sito web si effettuà con gli spider e quindi è basato sui link e sui form. - DirBuster è progetto Owasp con lo scopo di andare a scoprire tutti quei file e quelle cartelle presenti in un sito web, che volutamente si vogliono nascondere da occhi indiscreti. Questo approccio è conosciuto come security by obscurity ed è uno degli approcci più sbagliati e più controproducenti che un web developer possa seguire. LA SICUREZZA DELLE WEB APPLICATION
  • 16. Resource Enumeration • Attenzione ai file rinominati lasciati dallo sviluppatore sul server, ad esempio il file configuration.php di Joomla che si potrebbe trovare come configuration.bak o .old • Attenzione ad altri files importanti rinominati per errore e quindi interpretati come file di testo e non dal server • Se il motore è IIS con ASP quasi sicuramente ci saranno file .inc che venivano utilizzati per essere inclusi in file ASP • Directory listing • Opzioni HTTP (PUT permesso) put /images/attacco.php http/1.1 content-lenght:xxx[invio] Content html [invio] [invio] Il file è creato è può essere richiamato da browser LA SICUREZZA DELLE WEB APPLICATION
  • 17. Resource Enumeration Google Hacking http://johnny.ihackstuff.com/ghdb/ http://www.googleguide.com/advanced_operators.html Ad esempio Filetype=‘’bak’’ Filetype=‘’inc’’ E aggiungendo: site:www.target.com Gli operatori presenti sulla guida avanzata di Google sono centinaia! LA SICUREZZA DELLE WEB APPLICATION
  • 18. Iniziamo con un po’ di pratica. Quali sono le informazioni che cerchiamo? 1) Dati dell’organizzazione 2) IP, domini e sottodomini 3) Infrastruttura (Server, CMS, Framework, Database) 4) Logica dell’applicazione 5) Host virtuali sul server 6) La struttura dell’applicazione 7) File nascosti nell’applicazione 8) Username & Password LA SICUREZZA DELLE WEB APPLICATION
  • 19. LA SICUREZZA DELLE WEB APPLICATION
  • 20. LA SICUREZZA DELLE WEB APPLICATION
  • 21. LA SICUREZZA DELLE WEB APPLICATION
  • 22. LA SICUREZZA DELLE WEB APPLICATION
  • 23. LA SICUREZZA DELLE WEB APPLICATION
  • 24. I primi risultati: LA SICUREZZA DELLE WEB APPLICATION
  • 25. Approfondiamo il netblock sul db RIPE LA SICUREZZA DELLE WEB APPLICATION
  • 26. Approfondiamo i record DNS con nslookup C:Usersmassimo.chirivi>nslookup DNS request timed out. > sviluppoeconomico.gov.it timeout was 2 seconds. Server: [151.99.125.2] Server predefinito: UnKnown Address: 151.99.125.2 Address: fe80::88f0:f3d6:3c8b:26eb Risposta da un server non autorevole: Nome: sviluppoeconomico.gov.it > sviluppoeconomico.gov.it Address: 88.49.250.35 Server: UnKnown Address: fe80::88f0:f3d6:3c8b:26eb > server ns1.sviluppoeconomico.gov.it Server predefinito: ns1.sviluppoeconomico.gov.it DNS request timed out. Address: 88.49.250.35 timeout was 2 seconds. > sviluppoeconomico.gov.it DNS request timed out. Server: ns1.sviluppoeconomico.gov.it timeout was 2 seconds. Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. Nome: sviluppoeconomico.gov.it Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. *** Tempo scaduto per la richiesta a UnKnown > server 151.99.125.2 DNS request timed out. timeout was 2 seconds. Server predefinito: [151.99.125.2] Address: 151.99.125.2 LA SICUREZZA DELLE WEB APPLICATION
  • 27. LA SICUREZZA DELLE WEB APPLICATION
  • 28. Una sorpresa dopo 1 ora di lavoro Se digitiamo sul browser: http:// vcse.sviluppoeconomico.gov.it Ricercare vulnerabilità sul web User & Password di default Brute Force sul form LA SICUREZZA DELLE WEB APPLICATION
  • 29. LA SICUREZZA DELLE WEB APPLICATION
  • 30. Grazie per l’attenzione www.massimochirivi.net info@massimochirivi.net Facebook Skype: mchirivi Linkedin Sito smau – www.smau.it Sito AIPSI -- www.aipsi.org Studia, prova, amplia, ricerca, analizza, migliora … … condividi con gli altri anche tu … sempre con il cappello bianco LA SICUREZZA DELLE WEB APPLICATION