Rilasciato PHP 5.3.10: grave vulnerabilità corretta nella versione 5.3.9
Venerdì 3 Febbraio 2012 - 11:50
di Matteo Campofiorito
Non capita tutti i giorni che una patch, destinata a correggere una vulnerabilità, introduca a sua volta un bug di sicurezza potenzialmente peggiore di quello corretto. È successo con PHP 5.3.9 che includeva una patch correttiva della vulnerabilità CVE-2011-4885 per prevenire un DoS dovuto alle hash collisions. Sfruttando quest’ultimo bug un utente remoto era in grado, inviando richieste in POST, di causare un denial o service.
Continua a leggere Rilasciato PHP 5.3.10: grave vulnerabilità corretta nella versione 5.3.9
Categoria: Sicurezza, PHP e Open Source | Permalink | Commenta
Come aumentare la sicurezza di un sito WordPress
Giovedì 15 Dicembre 2011 - 12:02
di Fabio Lelli
WordPress è il CMS più utilizzato al mondo, e attualmente è anche un ambiente di sviluppo adatto per progettare siti davvero complessi ricchi di funzionalità, ben oltre il puro blogging. La massiccia diffusione di un software ha effetti benefici come l’aumentata disponibilità di risorse e documentazione e la crescita di una comunità di supporto. Il rovescio della medaglia è che più una tecnologia è comune, più è probabile che sorgano nuove minacce per la sua sicurezza.
Questo non sta a significare che Wordpress sia una piattaforma poco sicura, significa solamente che nonostante la sua semplicità di installazione ed utilizzo occorre intraprendere alcune operazioni per renderlo maggiormente protetto.
Continua a leggere Come aumentare la sicurezza di un sito WordPress
Categoria: Sicurezza, CMS | Permalink | Commenti (4)
MySQL.com defacciato. Le password degli utenti su Pastebin
Martedì 6 Dicembre 2011 - 10:55
di Matteo Campofiorito
MySQL.com di nuovo bersaglio di cracker. Era successo già qualche mese fa quando il sito era stato infettato da malware in grado di attaccare i sistemi operativi dei visitatori. Stando agli ultimi rumor circolati in queste ore vi sarebbe stato un nuovo attacco che avrebbe portato al defacement della home page e alla pubblicazione degli username e password degli utenti del sito.
Uso il condizionale perché nessuna comunicazione in merito al presunto attacco è stata data dai gestori di MySQL.com e l’unica “pistola fumante” che dimostra l’attacco è una pagina di Pastebin dove sono stati resi pubblici i dati degli utenti del sito.
Continua a leggere MySQL.com defacciato. Le password degli utenti su Pastebin
Categoria: Sicurezza | Permalink | Commenti (6)
HSTS: più sicurezza per i siti Web con poco sforzo
Mercoledì 26 Ottobre 2011 - 09:35
di Claudio Cicali
Da che mondo e mondo sappiamo quanto sia importante utilizzare il protocollo HTTPS per le nostre transazioni web più sensibili. Lo abbiamo imparato giorno per giorno, grazie anche ai sottili ma continui miglioramenti UI nei nostri browser, vedendo con piacere che sempre più siti lo usavano obbligatoriamente non solo, ovviamente, per il pagamento di un bene ma anche già a livello di login. Facebook, Google, Friendfeed e una lunga lista di altri siti sono poi utilizzabili completamente solo in HTTPS.
Stiamo sicuramente facendo dei passi avanti, in questo contesto, dove anche l’utente medio (quello che per esempio non ha notato che lo schema delle URL è ormai sparito dalla barra degli indirizzi del browser) sta acquistando la sensibilità necessaria per non farsi ingannare in maniera troppo semplice.
Per migliorare ulteriormente la situazione sicurezza e privacy, è stata proposta piuttosto recentemente una semplice, poco intrusiva, specifica: si chiama HSTS, che sta per HTTP Strict Transport Security.
Continua a leggere HSTS: più sicurezza per i siti Web con poco sforzo
Categoria: Sicurezza | Permalink | Commenti (2)
Attaccate milioni di pagine e-commerce basate su osCommerce
Giovedì 4 Agosto 2011 - 10:00
di Claudio Garau
Secondo quanto riportato dall’Armorize Malware Blog, milioni di pagine Web basate sul Content Manager Open source per il commercio elettronico osCommerce sarebbero state coinvolte in un attacco volto a sfruttare delle vulnerabilità relative ad applicazioni di largo utilizzo che per esempio il browser Internet Explorer, il Reader di Adobe e l’ambiente Java.
Continua a leggere Attaccate milioni di pagine e-commerce basate su osCommerce
Categoria: Sicurezza, CMS | Permalink | Commenti (2)
Vulnerabilità in timthumb.php: WordPress a rischio
Martedì 2 Agosto 2011 - 10:07
di Matteo Campofiorito
Per bucare un’installazione di WordPress basta poco, è necessario soltanto che nel tema che si utilizza o in uno dei temi presenti nella directory “wp-content/themes” sia presente il file timthumb.php, un innocuo script per il ridimensionamento delle immagini che tuttavia può essere utilizzato come veicolo di possibili infezioni.
La scoperta è stata fatta da Mark Maunder che, investigando sulle possibili cause della compromissione del suo blog, ha individuato in timthumb.php il vettore di attacco.
Continua a leggere Vulnerabilità in timthumb.php: WordPress a rischio
Categoria: Sicurezza, CMS | Permalink | Commenti (5)
Domini co.cc bannati da Google
Giovedì 7 Luglio 2011 - 12:23
di Claudio Garau
Mountain View ha deciso di bannare dai risultati delle ricerche i siti Web aventi nome a dominio con estensione “.co.cc“, la motivazione da parte dell’azienda è stata che dalle pagine che facevano riferimento a questi domini veniva generata una quantità inaccettabile di spam. Effettivamente, in Rete sono presenti alcune conferme riguardo al fatto che dai “.cc” provenisse gran parte del traffico generato dai tentativi di phishing.
Continua a leggere Domini co.cc bannati da Google
Categoria: Sicurezza | Permalink | Commenti (5)
Tre trucchi da utilizzare nel tuo .htaccess
Giovedì 23 Giugno 2011 - 09:33
di Mariano Calandra
Il file .htaccess è un file molto potente e possiamo usufruire di tutte le sue potenzialità quando abbiamo a disposizione un web server Apache. L’uso a tutti più noto è quello che ci consente la riscrittura delle URL per avere indirizzi più user-friendly, ma ci sono anche altri usi meno noti, questi sono, a mio modo di vedere, alcuni dei più interessanti tra quelli trovati in giro per la rete.
Continua a leggere Tre trucchi da utilizzare nel tuo .htaccess
Categoria: Sicurezza | Permalink | Commenti (6)
XSS e PHP: teoria e pratica
Lunedì 20 Giugno 2011 - 09:17
di Kiko
Controllare l’input di un form è una delle prime mosse in ottica sicurezza che un buon programmatore deve mettere in pratica. L’attacco XSS mira, tramite inserimento di codice all’interno dei campi di un form, ad alterare i contenuti di una pagina Web.
Continua a leggere XSS e PHP: teoria e pratica
Categoria: Sicurezza, PHP e Open Source | Permalink | Commenti (16)
Tutto quello che devi sapere sulle password
Lunedì 9 Maggio 2011 - 14:00
di Claudio Cicali
Ammetto che il titolo di questo post può suonare un po’ esagerato, ma ho recentemente letto un paio di articoli che in effetti ti fanno riflettere molto su uno dei più importanti aspetti riguardante il sistema di autenticazione ad oggi più diffuso: la scelta della password. Come fare a conciliare la presunta sicurezza di un password “difficile” con l’usabilità della stessa (ovvero evitare che la si scriva sul classico post-it da attaccare al monitor perché è impossibile da ricordare)? Parliamo dunque di usabilità delle password.
Continua a leggere Tutto quello che devi sapere sulle password
Categoria: Sicurezza | Permalink | Commenti (3)