Cos'è un penetration test applicativo web?

Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in giro. »
Author's profile picture Paolo Perego on doctor is in

Testiamo in automatico le password dei nostri utenti

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo è ancora più divertente quando, durante le sessioni di awareness, la gente ti guarda quasi sfottendo e ti dice “sì, ma tanto per arrivare a quella vulnerabilità devi essere dall’interno dell’azienda, come fai da fuori?” »
Author's profile picture Paolo Perego on pick'n'chic

I tool di code review: croce o delizia?

Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa, il concetto però è fondamentale e smonta i claim sensazionalistici dei vendor di tool di code review, dawnscanner compreso. »
Author's profile picture Paolo Perego on sicurina

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi di falsi positivi è un panico. »
Author's profile picture Paolo Perego on pick'n'chic

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni fa, preoccupato lo ero veramente. »
Author's profile picture Paolo Perego on chiacchiere da bar

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone in rete. »
Author's profile picture Paolo Perego on under attack

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro. »
Author's profile picture Paolo Perego on chiacchiere da bar

Propositi e previsioni per la sicurezza applicativa nel 2015

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati, come si è arrivati e dove andremo l’anno prossimo. »
Author's profile picture Paolo Perego on chiacchiere da bar

Quanto costa un pentest?

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security? »
Author's profile picture Paolo Perego on chiacchiere da bar

Netcrash: tensione ai contorni della nuvola

Disclosure. Il link amazon ad ogni libro che viene recensito qui su codiceinsicuro ha un codice amazon che mi riconosce, se decidete di comprare il libro dopo aver cliccato sul link con questo codice, una piccola percentuale. »
Author's profile picture Paolo Perego on l'angolo del libro

Paga i tuoi debiti. Storie di malware del giovedì

Oggi, prima del caffé mi arriva una email. Oggetto: Il pagamento del debito no42456. »
Author's profile picture Paolo Perego on under attack

Tesoro, si è rotto il blog

Premesse e piccoli aggiornamenti »
Author's profile picture Paolo Perego on under attack

Shellshock, quando il codice è sotto nafta

Un paio di settimane fa eravamo nel pieno del bubbone #shellshock, tutti ad applicare patch, tutti con il fiato sul collo del proprio capo da una parte ed un occhio ai bollettini CVE che sembravano non finire mai dall’altra. »
Author's profile picture Paolo Perego on sicurina

Poodle: scacco ad ssl 3.0

Niente, sembra che io non riesca proprio a scrivere l’ultimo post che parla di #shellshock e del codice della bash che giace nei repository a testimoniare come si scriveva software negli anni settanta. »
Author's profile picture Paolo Perego on under attack

La #billOfRights itaGLiana. Servirà una legge anche per dire che il cielo è blu?

Ieri leggo un tweet del digital champion italiano(così è stata definita, con tanto di incarico ufficiale, la persona che si deve far carico di evangelizzare l’Italia sulle nuove tecnologie1. Si parla della carta dei diritti di Internet. sì, solo noi consideriamo il web una nuova tecnologia. Che il protocollo ↩ »
Author's profile picture Paolo Perego on chiacchiere da bar