Sqlmap è un'applicazione open source dedicata al penetration testing con capacità di automatizzare i processi per l'identificazione delle falle di sicurezza di un database SQL. (more...)

Continua a leggere Sqlmap: penetration test automatizzati per i database SQL

Categoria: Database

Alcuni giorni fa il team degli sviluppatori di Joomla aveva pubblicato un comunicato nel quale veniva reso noto che i loro esperti di sicurezza stavano lavorando alla risoluzione di problematiche individuate in Joomla 3.4.4 e, in generale, nel ramo 3.x; la natura di tali vulnerabilità non era stata rivelata, gli utilizzatori avrebbero però dovuto effettuare un aggiornamento a Joomla 3.4.5 non appena quest'ultimo fosse stato rilasciato. Cosa avvenuta nelle scorse ore. (more...)

Continua a leggere Joomla 3.4.5. Security Release

Categoria: CMS

Sviluppare per il web con Java è sempre più sinonimo di librerie e framework complessi, full-featured, sviluppati da big del settore quali SpringSource, Red Hat, Oracle. Eppure, alle volte, per progetti di dimensioni e complessità  assai ridotte (si pensi ad un possibile frontend per un database relazionale) potrebbe bastare molto meno, ed è in questo solco che si colloca un prodotto come Web4J, assolutamente controcorrente rispetto ai trend moderni: niente Ajax ma semplice HTML (al più JSP e tag JSTL), niente web services, niente dependency injection, niente ORM ma poche e semplici classi dedicate per interfacciarsi con file .sql, strutturate in maniera da evitare alla radice problemi di sicurezza come le famigerate SQL injection. (more...)

Continua a leggere Web4J, un framework minimalista

Categoria: Java

Qualche mese fa si era parlato di OpenX, una potente applicazione gratuita di gestione dei banner pubblicitari. Dalla release 2.6 sono state aggiunte nuove funzionalità , sono state migliorate notevolmente le performance ed è stata leggermente rinfrescata l'interfaccia grafica amministrativa. Nello specifico: è stato introdotto il "single page call", per ridurre ad una sola chiamata eventuali banner multipli; sono state introdotte nuove opzioni di targeting; (more...)

Continua a leggere OpenX 2.6.2 security release

Categoria: CMS

Quando si parla di sicurezza delle applicazioni Web, e con esse i CMS, viene spesso nominata l'SQL injection. Essa è una pratica che consiste nell'inviare all'applicazione un parametro che permette di rivelare all'attaccante informazioni. L'SQL Injection è uno dei metodi più sfruttati dai cracker per poter accedere ad un sito Web, soprattutto quando si parla di CMS Open Source che utilizzano estensioni di terze parti mal progettate. Ad esempio un componente Joomla che esegue una query $query_sql = "select * from jos_users where name='".$nome."';"; dove $nome è un parametro inviato tramite metodo post o metodo get. (more...)

Continua a leggere Che cos’é l’SQL injection

Categoria: CMS

Dopo il rilascio di Joomla 1.5.4 anche Drupal si aggiorna e mette a disposizione degli utilizzatori i nuovi nati Drupal 6.3 e 5.8. Entrambi i rilasci sono stati prodotti per esigenze di mantenimento così come per la soluzione di problematiche legate a vulnerabilità  recentemente rilevate nei predecessori. Inutile dire che l'aggiornamento delle piattaforme alle ultime versioni è fortemente raccomandato; si tenga conto che con Drupal 6.3 e 5.8 non sono state introdotte nuove features, l'upgrade è invece richiesto per migliorare le performance del CMS e per evitare di incappare nei pericoli relativi ad alcune falle ormai note. (more...)

Continua a leggere Disponibili Drupal 6.3 e 5.8

Categoria: CMS

A causa dell'ondata di attacchi SQL Injection che si sono recentemente verificati a danno di database utilizzati da vecchie applicazioni ASP mal ingegnerizzate, Microsoft ha deciso di correre ai ripari fornendo un utile strumento, chiamato Microsoft Source Code Analyzer for SQL Injection Tool, che permette di scansionare tutto il codice delle applicazioni ASP alla ricerca di quelle parti di codice vulnerabili a questo tipo di attacchi. Sostanzialmente vengono individuati e segnalati tutti i punti in cui sono inviate delle query al database, affinché si possa correre ai ripari ad esempio utilizzando i Parameter invece della pericolosissima concatenazione di stringhe per la creazione delle query. Qui trovate alcuni consigli utili su come risolvere i problemi più comuni. Trovate il tool a questo indirizzo insieme alla sua documentazione e ad esempi di utilizzo. Questa invece la pagina per il download diretto.

Continua a leggere Un tool Microsoft contro la SQL Injection

Categoria: Microsoft Dev

I CMS non sono mai esenti da falle e bug, in particolare se si parla di applicazioni abbastanza complesse come è per esempio il caso di WordPress, un blog engine composto da centinaia di migliaia di righe di codice. Se poi parliamo di nuove release il discorso è ancora più serio, infatti per quanto gli sviluppatori si sforzino di tappare tutti i buchi possibili solo i test di migliaia di utenti permettono di riportare a galla le vulnerabilità  più insidiose. Nel caso specifico di WordPress 2.5, nelle ultime ore sono state segnalate tre falle a carico dell'applicazione, due "critiche" ma che per loro natura possono essere difficilmente causa di problemi (una di esse è tra l'altro in odore di bufala), la terza è invece considerata di livello "medio" e in alcuni casi particolari potrebbe creare qualche grattacapo agli utilizzatori di questo blog engine. (more...)

Continua a leggere Problemi di sicurezza per WordPress 2.5

Categoria: CMS

L'argomento non è per nulla nuovo ma fino ad oggi non avevo ancora trovato un articolo sufficientemente esaustivo che mi desse modo di trattarlo. Vi siete mai posti la domanda di quanto sia frequente l'utilizzo di Google come strumento di ricerca di applicativi vulnerabili? Io sì, a spese mie. Nel 2003 rilasciai, quasi per gioco, un programma di statistiche chiamato ASP Stats Generator. Il progetto partì quasi per scherzo ma dopo qualche mese il numero di installazioni superava cifre a tre 0. Il codice delle prime release era tutt'altro che a prova di bomba, nel tempo lo affinai ma la versione completamente riscritta da zero con l'esperienza acquisita negli anni ha tardato ad essere rilasciata, complice il fattore tempo.Circa un anno fa Secunia pubblicà una vulnerabilità  legata ad una specifica versione. Il numero delle query di tipo avanzato su Google volte ad individuare specifiche installazioni di quella release aumentà esponenzialmente nel giro di qualche giorno ed i siti elencati nella prima pagina che non avevano applicato la patch furono quasi tutti presi di mira. (more...)

Continua a leggere Google come strumento di ricerca per vulnerabilità 

Categoria: Sicurezza

Quando si progetta un'applicazione Web per un sito di commercio elettronico si deve, è normale, prestare la massima attenzione alla sicurezza del modulo di gestione dei pagamenti. Se esso viene gestito in proprio, si deve anche considerare i requisiti minimi di sicurezza richieste dalle società  di emissione delle carte di credito. Visa, la società  che gestisce il circuito più diffuso di carte di credito, richiede che i gestori di carta di credito si attengano alle disposizione indicate nel Payment Card Industry Data Security Standard (PCI DSS, Pdf), anche per quanto riguarda le applicazioni online. La società  ha da poco pubblicato un documento (Pdf) in cui vengono analizzati i principali problemi di sicurezza dei sistemi di gestione dei pagamenti, problemi che se ignorati condurrebbero alla violazione del Data Security Standard. Anche per Visa il maggior problema di sicurezza delle applicazioni Web, per quanto riguarda la loro programmazione, è la SQL Injection. Ai primi due posti ci sono l'imprudente salvataggio dei dati sensibili della carta di credito e la mancanza di patch per i sistemi che ne conservano i dati. Al terzo posto l'uso delle password di default nei sistemi che ospitano i dati sensibili. Al quarto posto la SQL Injection: "un attacco di tipo SQL Injection può avere serie conseguenze e può portare alla paralisi delle applicazioni o dell'intero sito di commercio elettronico". Al quinto posto la mancata disabilitazione di servizi non necessari sui server che ospitano l'applicazione.

Continua a leggere Visa e la sicurezza delle applicazioni Web

Categoria: Sicurezza