Latest Articles

View more articles

Grazie Internet of Things

Paolo Perego 22 apr 2015

L’essere umano è pragmatico, un po’ come San Tommaso. Per credere alle favole che gli raccontiamo durante gli awareness deve essere colpito sul vivo, deve vedere che un attacco informatico ha ripercussioni sulla vita reale.

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2

Paolo Perego 20 apr 2015

Nella scorsa puntata abbiamo analizzato il modello User di una semplice applicazione basata su Sinatra e Warden per realizzare un frontend di autenticazione basato su Active Directory o comunque su un server LDAP.

MS15-034: IIS denial of service con una sola richiesta HTTP

Paolo Perego 16 apr 2015

L’altro ieri era il martedì delle patch di security in Microsoft e come ogni mese sono usciti bollettini di sicurezza che vanno dal catastrofico al moderatamente grave.

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1

Paolo Perego 15 apr 2015

Facendo penetration test applicativi da un po’ di anni ormai, sono abituato a vedere le peggiori cose davanti alla maschera di login.

Spiega la sicurezza informatica al marketing

Paolo Perego 8 apr 2015

Negli anni mi è capitato spesso di dover spiegare il mio lavoro a persone completamente a digiuno di nozioni di sicurezza informatica. In breve, le persone generalmente non vogliono affrontare argomenti che non conoscono. Li fa sentire vulnerabili, credo. Fa cadere le loro piccole certezze, di essere i super guru che conoscono tutto di tutto, e quindi si possono permettere di legiferare anche sulle tempistiche IT… tanto quanto vuoi che ci si impieghi a fare un sito, mio nipote a 15 anni ne ha uno bellissimo.

Esercizio di code review in PHP: un semplice blogging engine

Paolo Perego 1 apr 2015

Qualche giorno fa, mi hanno sottoposto il codice di un sistema di blogging volutamente scritto in maniera non sicura. Al suo interno ci sono alcune vulnerabilità che avrei dovuto trovare e per le quali scrivere un minimo di reportistica.

Cos'è un penetration test applicativo web?

Paolo Perego 26 mar 2015

Questo post non è rivolto a chi è nel campo della sicurezza applicativa. Magari se sei un pre sales dacci comunque una lettura, se ne sentono troppe di bestiate in giro.

Testiamo in automatico le password dei nostri utenti

Paolo Perego 20 mar 2015

Facendo penetration test da un po’ di tempo, una delle cose che ho notato più frequentemente è che le persone sottovalutano molto la necessità di avere una password robusta. Questo è ancora più divertente quando, durante le sessioni di awareness, la gente ti guarda quasi sfottendo e ti dice “sì, ma tanto per arrivare a quella vulnerabilità devi essere dall’interno dell’azienda, come fai da fuori?”

I tool di code review: croce o delizia?

Paolo Perego 17 mar 2015

Esiste un teorema fondamentale nell’informatica teorica che dice che una funzione polinomiale non può stabilire la correttezza di un’altra funzione polinomiale. Lo so, l’enunciazione è poco accademica e molto ortodossa, il concetto però è fondamentale e smonta i claim sensazionalistici dei vendor di tool di code review, dawnscanner compreso.

Wordstress: penetration testing whitebox per wordpress

Paolo Perego 24 feb 2015

Se avete mai usato un tool automatico per fare un penetration test di un vostro blog basato su wordpress sapete di cosa sto parlando: avere risultati attendibili e non zeppi di falsi positivi è un panico.

Io sono molto preoccupato. Owasp Italia ha bisogno di te.

Paolo Perego 3 feb 2015

Ormai una decina di giorni fa ho scritto una email sulla mailing list di Owasp Italia. Iniziavo la email dicendomi molto preoccupato ed in effetti una decina, ormai, di giorni fa, preoccupato lo ero veramente.

CVE-2015-1383: XSS nel plugin wordpress Geo Mashup e code review metropolitane

Paolo Perego 30 gen 2015

Sonnecchioso pomeriggio di metà dicembre. Jacopo mi manda un DM su twitter dove mi parla di un sito famoso, già oggetto di critiche e perplessità da un po’ di persone in rete.

Come la vuole la disclosure? Full o Responsible?

Paolo Perego 12 gen 2015

Un vecchio adagio dice che la mia libertà finisce dove inizia la libertà dell’altro.

Propositi e previsioni per la sicurezza applicativa nel 2015

Paolo Perego 30 dic 2014

Oggi è il 29 Dicembre e mancano due giorni alla fine dell’anno. E’ il classico momento dove ci si ferma e si fa il punto di dove si è arrivati, come si è arrivati e dove andremo l’anno prossimo.

Quanto costa un pentest?

Paolo Perego 18 dic 2014

Chi di voi non si è mai sentito rivolgere questa domanda, dopo aver descritto il perché serve testare un sito alla ricerca di issue di security?