Pillole
Visite: 4303

Questa vulnerabilità riguarda tutte quelle applicazioni Web e API che non proteggono adeguatamente i dati sensibili, come finanziari o sanitari. Gli aggressori possono rubare o modificare tali dati scarsamente protetti per condurre frodi con carte di credito, furti di identità o altri crimini.
La protezione del dato è intesa sia quando è a riposo, ad esempio all'interno di un db, che in movimento (quando viene trasmesso).
Un'applicazione che soffre di questa vulnerabilità potrebbe utilizzare protocolli di scambio non criptati come HTTP al posto di HTTPS, salvare dati sensibili in chiaro sul db, utilizzare meccanismi di crittografia deboli, oppure non applicare policy tali da proteggere i dati.
Un classico scenario è quello di un'applicazione che cripta i numeri di carta di credito quando li memorizza nel db. Tuttavia, questi dati vengono decrittografati automaticamente quando vengono recuperati, consentendo ad esempio, se vulnerabile ad una sql injection di recuperare i numeri di carta di credito in chiaro.
Certo che quest'ultima applicazione è stata proprio sviluppata con i piedi! ;-)

Pillole
Visite: 4584

Continuiamo nel nostro viaggio nelle top ten #Owasp.
Oggi vi parlo della #BrokenAutenthication.
Con questo termine si definiscono quelle routine all'interno di ogni applicazione che sono demandate al processo di autenticazione e che essendo sviluppate male permettono ad un attaccante di ottenere l'accesso all'applicazione con privilegi maggiori di quelli previsti oppure addirittura quando non dovrebbero accedere affatto.
Lo sviluppo con poca attenzione alla sicurezza può permettere ad un attaccante l'accesso a password, chiavi di autenticazione, token di sessione consentendogli l'assunzione di un'identità non legittima.
Ogni routine demandata all'autenticazione dovrebbe implementare funzioni che non permettano il credential stuffing, l'utilizzo di attacchi brute force, l'implementazione di procedure di recovery password deboli o di password in chiaro, l'esposizione di session id negli url e (purtroppo) tanto altro.
Come proteggersi? Implementando routine di autenticazione con delay incrementali in caso di fallimento dell'autenticazione, implementazione di check per password deboli, utilizzo di routine di generazione dei sessioni ID con alta entropia, invalidazione dei session ID dopo il logout etc...

Pillole
Visite: 4855
#Analisforense
#TaskbarJumplist
Una delle fasi dell’analisi forense è quella di identificare le interazioni di un utente con il computer.
Cosa è stato fatto al pc?
Quali file sono stati usati?
Un artefatto utile a tale scopo sono le #Jumplist.
Le #Jumplist tengono traccia dei file a cui accede un utente, quindi saranno utili nella maggior parte degli esami in cui le azioni di un utente sul computer sono al centro dell'analisi.
I file della #JumpList vengono creati per utente e individuati nella directory #AppData in uno specifico path, vengono organizzati in due cartelle #AutomaticDestinations-ms e #CustomDestinationsCustomDestinations-ms, queste contengono un file distinto per ogni applicazione.
In questi file sono contenuti i metadati come #timestamp e, tutte le informazioni utili ad una indagine.

Pillole
Visite: 8148

PingBack, il malware che si nasconde dietro un ping
#Pingback è un malware in grado di comunicare con il proprio #C2 tramite il protocollo #ICMP e evadere i controlli #antivirus grazie al fatto che la comunicazione non comporta l'utilizzo di nessunoa porta TCP o UDP.
La tecnica utilizzata per questo tipo di attacco è chiamata #Piggyback che indica la capacità di un attaccante di inserirsi in una comunicazione e sfruttare i momenti di "silenzio" per inviare i propri messaggi.
Il protocollo ICMP è di livello 3, quindi lavorando a livello IP non comporta l'utilizzo di porte che servirebbero al livello successivo e questo aumenta la sua capacità di #steathness (invisibilità rispetto ai classici antivirus).
Questo #malware quando infetta una macchina installa la dll OCI.dll utilizzata dal servizio #MSDTC (Microsoft Distribuited Transaction Coordinator) che viene caricata grazie alla famosisima tecnica Dll Search Order Hijacking (questa tecnica la ho spiegata in un'altra pillola).
In pratica per mettersi in contatto con il proprio C2 viene utilizzato il protocollo ICMP ed in particolare la Echo Request (messaggio ICMP di tipo 8) alla quale associa i sequence number 1234, 1235 e 1236. Il primo sequence number viene utilizzato per indicare che il #payload è un comando da eseguire o un dato, gli altri due vengono utilizzati come Ack.
In pratica la tecnica di Piggyback utilizzata crea un tunnel ICMP!

Pillole
Visite: 13488

Pillole di #penetrationtest

MITRE Corporation, con il supporto governativo (US-CERT e la Divisione Nazionale di Sicurezza Cyber del Dipartimento di Sicurezza interna) ha definito un sistema di classificazione per le debolezze e vulnerabilità dei software, nel senso del codice sorgente, ossia osservando e classificando quegli errori introdotti durante la fase di progettazione e sviluppo che portano alle conseguenti vulnerabilità note e individuabili mediante CVE.

Questo sistema è il Common Weakness Enumeration (CWE), anche questo covernato da un sistema numerico, benché non inteso come puro ordinale.

L'intento del sistema è supportare tutti quei metodi (anche automatici) per il controllo e la prevenzione di questi errori nei software: si tratta invero di strumenti e metodi collegati all'attività di Code Review, ma da pentester dobbiamo saper maneggiare questo ulteriore sistema di classificazione quando vogliamo comunicare la fonte della vulnerabilità e supportare gli sviluppatori nella fase di soluzione. Il sistema è alla versione 3.2 dal 2019 e contiene oltre 800 categorie di debolezze e vulnerabilità software (https://cwe.mitre.org)

Prendendo spunto da alcune delle debolezze prese dalla classifica le Top25 del 2019 redatta sempre dal Mitre, possiamo portare un esempio dell'importanza del CWE nel nostro lavoro nell'individuare le cause delle più note vulnerabilità (Buffer Overflow, XSS e SQL Injection e path traversal). Lo standard indica le seguenti debolezze: CWE-119 (Impropria Limitazione delle Operazioni all'interno dei Limiti di un Buffer di Memoria - Buffer Overflow), CWE-79 (Impropria Neutralizzazione dell'Input Durante la Generazione della Pagina Web - XSS), CWE-89 (Impropria Neutralizzazione di Elementi Speciali utilizzati in un Comando SQL - SQL Injection), CWE-22 (Impropria Limitazione dei Nomi di Percorso in una Directory Specifica - Path Traversal).

Quindi, come si evince da questo breve esempio, dopo aver individuato una vulnerabilità (CVE) se da questa è deducibile un CWE, mediante questo potrà essere definita una strategia per la fase di remediation.

  1. Pillole di Pentration Testing: CVSS 2 o 3 ?
  2. Top Ten Owasp - Injection
  3. Pillole di Pentration Testing: Vulnerability assessment e web application
  4. Pillole di Pentration Testing: Alla ricerca di misconfigurations

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.