WordPress 4.2 rilasciato e vulnerabile a stored XSS

L’ultima versione stabile di WordPress, la 4.2 è disponibile da pochi giorni ed è già vulnerabile ad un cross site scripting di tipo stored. »
Author's profile picture Paolo Perego on under attack

Grazie Internet of Things

L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico ha ripercussioni sulla vita reale. »
Author's profile picture Paolo Perego on spinaci

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su un server LDAP. »
Author's profile picture Paolo Perego on sicurina

MS15-034: IIS denial of service con una sola richiesta HTTP

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave. »
Author's profile picture Paolo Perego on under attack

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login. »
Author's profile picture Paolo Perego on sicurina

Spiega la sicurezza informatica al marketing

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare argomenti che non conoscono. Li fa sentire vulnerabili, credo. Fa cadere le loro piccole certezze, di essere i super guru che conoscono tutto di tutto, e quindi si possono permettere di legiferare anche sulle tempistiche IT… tanto quanto vuoi che ci si impieghi a fare un sito, mio nipote a 15 anni ne ha uno bellissimo. »
Author's profile picture Paolo Perego on doctor is in

Esercizio di code review in PHP: un semplice blogging engine

Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare e per le quali scrivere un minimo di reportistica. »
Author's profile picture Paolo Perego on under attack

Cos'è un penetration test applicativo web?

Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in giro. »
Author's profile picture Paolo Perego on doctor is in

Testiamo in automatico le password dei nostri utenti

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo è ancora più divertente quando, durante le sessioni di awareness, la gente ti guarda quasi sfottendo e ti dice “sì, ma tanto per arrivare a quella vulnerabilità devi essere dall’interno dell’azienda, come fai da fuori?” »
Author's profile picture Paolo Perego on pick'n'chic

I tool di code review: croce o delizia?

Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa, il concetto però è fondamentale e smonta i claim sensazionalistici dei vendor di tool di code review, dawnscanner compreso. »
Author's profile picture Paolo Perego on sicurina

Wordstress: penetration testing whitebox per wordpress

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi di falsi positivi è un panico. »
Author's profile picture Paolo Perego on pick'n'chic

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni fa, preoccupato lo ero veramente. »
Author's profile picture Paolo Perego on chiacchiere da bar

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone in rete. »
Author's profile picture Paolo Perego on under attack

Come la vuole la disclosure? Full o Responsible?

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro. »
Author's profile picture Paolo Perego on chiacchiere da bar

Propositi e previsioni per la sicurezza applicativa nel 2015

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati, come si è arrivati e dove andremo l’anno prossimo. »
Author's profile picture Paolo Perego on chiacchiere da bar