Telecom Italia Cookie Handling Vulnerability

Un nostro lettore, Pietro Tedeschi, ci ha comunicato lo scorso 17 Luglio una grave vulnerabilità nella WebeMail di Alice, Tin.it, Virgilio o Tim. La vulnerabilità permette ad un malintenzionato di poter accedere alla nostra casella eMail sfruttando i cookie precedentemente scambiati tra il vostro Browser e i server di Telecom Italia. Possiamo sfruttare la tecnica di Cookie Handling per accedere alla casella eMail di una terza persona, semplicemente importando ed esportando i cookie di un utente, e riutilizzarli dopo la fase di LogOut.

Vediamo nel dettaglio la Security Disclosure che Pietro ci ha gentilmente inviato:

Continua a leggere

PenQ

PenQ è un progetto open source, basato su Linux  e costruito sulla base di Mozilla Firefox per effettuare Test di  Penetrazione tramite il Browser. Esso viene fornito pre-configurato con gli strumenti di sicurezza per spidering, ricerca avanzata web, fingerprinting, navigazione anonima, scansione server web, fuzzing, report e tanto altro.

Un sito web sicuro è fondamentale per qualsiasi piccola, media o grande impresa. PenQ può salvare le aziende da ingenti investimenti in strumenti proprietari e team di test di grandi dimensioni. Integra collegamenti a risorse di IT Security, linee guida di sicurezza e strumenti di test, PenQ facilita i tester anche meno esperti ad effettuare un lavoro approfondito.

PenQ rende disponibili agli esperti di Sicurezza Informatica gli strumenti giusti, risparmiando tempo e rendendo le prove molto più veloce. Strumenti incorporati vanno da quelli per la navigazione anonima e monitoraggio del sistema a quelli per prendere appunti e pianificare il lavoro. Sul sito internet ufficiale troverai l’elenco di tutte le funzionalità.

PenQ è configurato per funzionare su distribuzioni Debian, incluso Ubuntu e la sue derivate distro, e le distribuzioni dedicate al Penetration Testing come BackBox, BackTrack e Kali.

Potete scaricare PenQ gratuitamente sul sito internet ufficiale, su GitHub trovate invece i sorgenti.

Logo_Hackinbo

HackInBo è il primo evento gratuito sulla Sicurezza Informatica nella città di Bologna! L’evento nasce per sopperire alla mancanza di una manifestazione di questo tipo sul territorio Bolognese, gli interessati avranno l’occasione per parlare e incontrare esperti del settore in un’atmosfera rilassata e collaborativa cogliendo l’occasione per rimanere aggiornati sulle ultime tematiche riguardanti l’IT-Security.

Il tema di questa prima edizione sarà la Sicurezza Aziendale e vi saranno relatori di notevole fama nazionale:

  • Alessio L.R. Pennasilico
  • Gianni Amato
  • Paolo Dal Checco
  • Emanuele Gentili
  • Gianluca Ghettini

Yvette Agostini invece presenterà e modererà l’evento!

L’evento si terrà presso la Fondazione Aldini Valeriani, in Via Bassanelli 9/11 Bologna a partire dalle ore 14,00. Sala Polivalente Romano Martelli, in Via Faenza 4, 40139  Bologna.

L’evento patrocinato dalle associazioni AIPIISFA e CLUSIT è del tutto gratuito; quindi, al fine di evitare spiacevoli inconvenienti, il consiglio è di confermare in fretta la vostra presenza. Per qualsiasi informazione potete visitare il sito internet ufficiale.

Hacking Web - Sicurezza nel groviglio della Rete

Solo quindici anni fa il Web era semplice e poco importante, la sua progressione dall’oscurità alla diffusione ubiquitaria è stata incredibilmente rapida. Non è perciò difficile immaginare come mai le moderne applicazioni web siano state costruite su un intreccio di tecnologie accatastate una accanto all’altra. Tuttavia ogni filo di questo intricato groviglio, dalla struttura delle URL alle richieste HTTP, ha sottili ma importanti conseguenze per la sicurezza. In questo libro Michal Zalewski non si limita a fare il solito elenco delle falle di sicurezza note, ma analizza in profondità come funziona l’ecosistema del Web, mostrando come fare leva sulle sue caratteristiche e svelando le insidie che si nascondono nell’ombra. Si inizia dall’esame dei browser e si procede fino all’analisi degli aspetti legati alla sicurezza di specifiche tecnologie tra cui CSS, JavaScript fino a HTML5. Il testo è un viaggio nelle pieghe della Rete, un prezioso alleato per il lettore che desidera approfondimenti completi, ma grazie a suggerimenti e schede riassuntive può essere apprezzato anche da chi cerca rapide risposte ai problemi.

In una frase

Abbiamo combinato un bel caos, ed è giunta l’ora del ravvedimento. Con questo spirito, il libro cerca di fare un passo in avanti verso una situazione di normalità, ed è forse la prima pubblicazione a presentare un’analisi sistematica ed esauriente dello stato attuale delle cose nel campo della sicurezza delle applicazioni web. Nel fare questo, intende fare luce sull’unicità delle sfide che tutti noi – ingegneri della sicurezza, sviluppatori web e utenti – dobbiamo affrontare ogni giorno.

– Michal Zalewski

Argomenti in breve

  • La sicurezza, nel mondo delle applicazioni web
  • L’ecosistema del Web: URL, HTTP, HTML, CSS
  • Anatomia, complessità e particolarità degli URL
  • Analisi del funzionamento di script lato browser
  • Non solo documenti HTML: testo, immagini, audio, video e dialetti XML
  • Comportamento e pericoli dei plug-in
  • Controllo di applicazioni maligne: le regole della stessa origine
  • Meccanismi di riconoscimento del contenuto
  • Logiche e comportamenti di script ostili
  • Gestione di permessi e password
  • Dietro l’angolo: vulnerabilità web comuni

Anteprime

Scarica gratuitamente:

Oppure acquistalo sul sito della Feltrinelli a 35euro.

L’autore

Michal Zalewski, cacciatore di bug, è un esperto di sicurezza informatica e architetture di rete di fama internazionale. Noto per aver messo in luce centinaia di importanti falle di sicurezza, spesso compare nelle classifiche dei professionisti più influenti del settore. Apprezzato divulgatore e autore di numerosi saggi di ricerca, i lettori di Apogeo lo hanno conosciuto per Il rumore dell’hacking.