Gli ultimi post di Edit
Web4J, un framework minimalista
Mercoledì 19 Maggio 2010 - 08:02
di Giuseppe de Santis
Sviluppare per il web con Java è sempre più sinonimo di librerie e framework complessi, full-featured, sviluppati da big del settore quali SpringSource, Red Hat, Oracle. Eppure, alle volte, per progetti di dimensioni e complessità assai ridotte (si pensi ad un possibile frontend per un database relazionale) potrebbe bastare molto meno, ed è in questo solco che si colloca un prodotto come Web4J, assolutamente controcorrente rispetto ai trend moderni: niente Ajax ma semplice HTML (al più JSP e tag JSTL), niente web services, niente dependency injection, niente ORM ma poche e semplici classi dedicate per interfacciarsi con file .sql, strutturate in maniera da evitare alla radice problemi di sicurezza come le famigerate SQL injection.
Continua a leggere Web4J, un framework minimalista
Categoria: Java | Permalink | Commenti (1)
Nuovo Firewall per WordPress
Giovedì 14 Maggio 2009 - 10:18
di Claudio Garau
Riprendendo un discorso recentemente affrontato in un altro articolo di questo blog, può essere interessante segnalare un’alternativa a WPIDS per dotare un’installazione di WordPess di un vero e proprio firewall con cui proteggere il proprio blog; il tutto con un semplice plugin.
WordPress Firewall Plugin è infatti una soluzione completa per monitore un sito Web basato su questa piattaforma CMS, essere informati dal sistema nel caso in cui venga rilevato un eventuale tentativo di attacco e, se possibile, bloccare esecuzioni, processi e comportamenti che potrebbero compromettere la sicurezza della piattaforma.
Continua a leggere Nuovo Firewall per WordPress
Categoria: CMS | Permalink | Commenta
Rilasciati Drupal 6.9 e 5.15
Venerdì 16 Gennaio 2009 - 09:10
di Claudio Garau
Come spesso succede, ad un aggiornamento di sicurezza per Joomla segue un nuovo rilascio di Drupal per gli stessi motivi (o viceversa), in ogni caso è molto raro che questi due content managers non vengano aggiornati a pochi giorni di distanza l’uno dall’altro. Il rilascio di Drupal 6.9 e 5.15 non fa eccezione ed è stato reso disponibile a breve distanza da quello di Joomla 1.5.9.
Aspettando Drupal 7 (mentre la comunità di Joomla attende con ansia la release 1.6), il team di sviluppo ha sfornato una doppia “maintenance release” in cui sono stati corretti alcuni malfunzionamenti, sono state aggiunte alcune nuove funzionalità e, soprattutto, sono state eliminate 3 vulnerabilità critiche. Inutile dire quindi che l’aggiornamento alle nuove releases è fortemente raccomandato.
Continua a leggere Rilasciati Drupal 6.9 e 5.15
Categoria: CMS | Permalink | Commenta
OpenX 2.6.2 security release
Mercoledì 15 Ottobre 2008 - 08:25
di andrea.ferrini
Qualche mese fa si era parlato di OpenX, una potente applicazione gratuita di gestione dei banner pubblicitari. Dalla release 2.6 sono state aggiunte nuove funzionalità, sono state migliorate notevolmente le performance ed è stata leggermente rinfrescata l’interfaccia grafica amministrativa.
Nello specifico:
- è stato introdotto il “single page call”, per ridurre ad una sola chiamata eventuali banner multipli;
- sono state introdotte nuove opzioni di targeting;
Continua a leggere OpenX 2.6.2 security release
Categoria: CMS | Permalink | Commenta
Che cos’è l’SQL injection
Giovedì 18 Settembre 2008 - 08:31
di flavio.copes
Quando si parla di sicurezza delle applicazioni Web, e con esse i CMS, viene spesso nominata l’SQL injection. Essa è una pratica che consiste nell’inviare all’applicazione un parametro che permette di rivelare all’attaccante informazioni.
L’SQL Injection è uno dei metodi più sfruttati dai cracker per poter accedere ad un sito Web, soprattutto quando si parla di CMS Open Source che utilizzano estensioni di terze parti mal progettate. Ad esempio un componente Joomla che esegue una query
$query_sql = "select * from jos_users where name='".$nome."';";
dove $nome è un parametro inviato tramite metodo post o metodo get.
Continua a leggere Che cos’è l’SQL injection
Categoria: CMS | Permalink | Commenti (3)
Disponibili Drupal 6.3 e 5.8
Venerdì 11 Luglio 2008 - 08:28
di Claudio Garau
Dopo il rilascio di Joomla 1.5.4 anche Drupal si aggiorna e mette a disposizione degli utilizzatori i nuovi nati Drupal 6.3 e 5.8.
Entrambi i rilasci sono stati prodotti per esigenze di mantenimento così come per la soluzione di problematiche legate a vulnerabilità recentemente rilevate nei predecessori.
Inutile dire che l’aggiornamento delle piattaforme alle ultime versioni è fortemente raccomandato; si tenga conto che con Drupal 6.3 e 5.8 non sono state introdotte nuove features, l’upgrade è invece richiesto per migliorare le performance del CMS e per evitare di incappare nei pericoli relativi ad alcune falle ormai note.
Continua a leggere Disponibili Drupal 6.3 e 5.8
Categoria: CMS | Permalink | Commenta
Un tool Microsoft contro la SQL Injection
Venerdì 27 Giugno 2008 - 11:32
di Gianni Malanga
A causa dell’ondata di attacchi SQL Injection che si sono recentemente verificati a danno di database utilizzati da vecchie applicazioni ASP mal ingegnerizzate, Microsoft ha deciso di correre ai ripari fornendo un utile strumento, chiamato Microsoft Source Code Analyzer for SQL Injection Tool, che permette di scansionare tutto il codice delle applicazioni ASP alla ricerca di quelle parti di codice vulnerabili a questo tipo di attacchi.
Sostanzialmente vengono individuati e segnalati tutti i punti in cui sono inviate delle query al database, affinché si possa correre ai ripari ad esempio utilizzando i Parameter invece della pericolosissima concatenazione di stringhe per la creazione delle query. Qui trovate alcuni consigli utili su come risolvere i problemi più comuni. Trovate il tool a questo indirizzo insieme alla sua documentazione e ad esempi di utilizzo. Questa invece la pagina per il download diretto.
Categoria: Microsoft Dev | Permalink | Commenti (3)
Problemi di sicurezza per WordPress 2.5
Venerdì 18 Aprile 2008 - 08:33
di Claudio Garau
I CMS non sono mai esenti da falle e bug, in particolare se si parla di applicazioni abbastanza complesse come è per esempio il caso di WordPress, un blog engine composto da centinaia di migliaia di righe di codice. Se poi parliamo di nuove release il discorso è ancora più serio, infatti per quanto gli sviluppatori si sforzino di tappare tutti i buchi possibili solo i test di migliaia di utenti permettono di riportare a galla le vulnerabilità più insidiose.
Nel caso specifico di WordPress 2.5, nelle ultime ore sono state segnalate tre falle a carico dell’applicazione, due “critiche” ma che per loro natura possono essere difficilmente causa di problemi (una di esse è tra l’altro in odore di bufala), la terza è invece considerata di livello “medio” e in alcuni casi particolari potrebbe creare qualche grattacapo agli utilizzatori di questo blog engine.
Continua a leggere Problemi di sicurezza per WordPress 2.5
Categoria: CMS | Permalink | Commenta
Google come strumento di ricerca per vulnerabilità
Martedì 24 Aprile 2007 - 09:05
di Simone Carletti
L’argomento non è per nulla nuovo ma fino ad oggi non avevo ancora trovato un articolo sufficientemente esaustivo che mi desse modo di trattarlo.
Vi siete mai posti la domanda di quanto sia frequente l’utilizzo di Google come strumento di ricerca di applicativi vulnerabili?
Io sì, a spese mie. Nel 2003 rilasciai, quasi per gioco, un programma di statistiche chiamato ASP Stats Generator. Il progetto partì quasi per scherzo ma dopo qualche mese il numero di installazioni superava cifre a tre 0.
Il codice delle prime release era tutt’altro che a prova di bomba, nel tempo lo affinai ma la versione completamente riscritta da zero con l’esperienza acquisita negli anni ha tardato ad essere rilasciata, complice il fattore tempo.
Circa un anno fa Secunia pubblicò una vulnerabilità legata ad una specifica versione. Il numero delle query di tipo avanzato su Google volte ad individuare specifiche installazioni di quella release aumentò esponenzialmente nel giro di qualche giorno ed i siti elencati nella prima pagina che non avevano applicato la patch furono quasi tutti presi di mira.
Continua a leggere Google come strumento di ricerca per vulnerabilità
Categoria: Sicurezza | Permalink | Commenti (3)
Visa e la sicurezza delle applicazioni Web
Lunedì 2 Ottobre 2006 - 09:35
di Francesco Caccavella
Quando si progetta un’applicazione Web per un sito di commercio elettronico si deve, è normale, prestare la massima attenzione alla sicurezza del modulo di gestione dei pagamenti. Se esso viene gestito in proprio, si deve anche considerare i requisiti minimi di sicurezza richieste dalle società di emissione delle carte di credito.
Visa, la società che gestisce il circuito più diffuso di carte di credito, richiede che i gestori di carta di credito si attengano alle disposizione indicate nel Payment Card Industry Data Security Standard (PCI DSS, Pdf), anche per quanto riguarda le applicazioni online. La società ha da poco pubblicato un documento (Pdf) in cui vengono analizzati i principali problemi di sicurezza dei sistemi di gestione dei pagamenti, problemi che se ignorati condurrebbero alla violazione del Data Security Standard.
Anche per Visa il maggior problema di sicurezza delle applicazioni Web, per quanto riguarda la loro programmazione, è la SQL Injection. Ai primi due posti ci sono l’imprudente salvataggio dei dati sensibili della carta di credito e la mancanza di patch per i sistemi che ne conservano i dati. Al terzo posto l’uso delle password di default nei sistemi che ospitano i dati sensibili. Al quarto posto la SQL Injection: “un attacco di tipo SQL Injection può avere serie conseguenze e può portare alla paralisi delle applicazioni o dell’intero sito di commercio elettronico”. Al quinto posto la mancata disabilitazione di servizi non necessari sui server che ospitano l’applicazione.
Categoria: Sicurezza | Permalink | Commenti (1)