SlideShare a Scribd company logo

Smau Bari 2013 Massimo Chirivì

Download as PPTX, PDF
SMAU
SMAU
1 of 30
LA SICUREZZA DELLE WEB APPLICATION Massimo Chirivì LA SICUREZZA DELLE WEB APPLICATION
Sommario • Presentazione • Ethical Hacking • Information Gathering • Fingerprinting Web Server • Subdomain Enumeration • Virtual Hosting • Fingerprinting Frameworks and Application • Resource Enumeration LA SICUREZZA DELLE WEB APPLICATION
Chi sono • Dal 1988 con la passione dell’informatica • Dal 1996 al servizio delle aziende per lavoro • Dal 1998 al servizio della P.A. per il bene di tutti • Dal 2010 in una delle più grandi aziende ICT d’Italia. Di cosa mi occupo - Information Security - System Administrator - Ethical Hacking Condividere è un dovere etico… La condivisione è conoscenza. LA SICUREZZA DELLE WEB APPLICATION
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Associazione Capitolo di singoli Italiano di professionisti ISSA Oltre 10.000 esperti in 200 soci in tutto il Italia mondo LA SICUREZZA DELLE WEB APPLICATION
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche LA SICUREZZA DELLE WEB APPLICATION
Ethical Hacking • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati. • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro. • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. • L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo. LA SICUREZZA DELLE WEB APPLICATION
Information Gathering - Rappresenta la fase della raccolta di informazioni. Quante più ne abbiamo meglio valuteremo la sicurezza dell’applicazione web. Quindi bisogna organizzare le informazioni in modo corretto. - E’ la fase più importante del penetration test. - Durante le fasi successive potrebbe servire qualsiasi particolare. NON CI SONO INFORMAZIONI NON NECESSARIE! LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Web Server • Dobbiamo analizzare l’infrastruttura, cioè tutto quello che c’è sul server per permettere il corretto funzionamento dell’applicazione web – Server Web (Apache, IIS, Tomcat) – Sistema operativo (Windows, Linux) – DB ( Sql server, Mysql, Oracle, PG) – Moduli rewrite (Rewrite x Apache – Isapi o Ionic Elicon x IIS) – Modulo security – Linguaggi utilizzati (PHP, Javascript, ASP, ASP.NET, Java) – Librerie e script utilizzati (Jquery – Mootools) – Flash LA SICUREZZA DELLE WEB APPLICATION
Subdomain Enumeration Bisogna trovare tutti i sottodomini situati all’interno di un dominio? 1) Ampliare la superficie di attacco 2) Rilevare pannelli di gestione backend 3) Applicazione web situato sul 3° livello Come? • Netcraft • Subdomainer.py • Google o Bing (metodo più utilizzato) • Crawling o Brute Force (Burp Suite) • Zone Transfers (utility DIG o Nslookup) LA SICUREZZA DELLE WEB APPLICATION
Subdomain Enumeration C:nslookup  Server [nameserver]  Ls –d domain.com Oppure con bing.com LA SICUREZZA DELLE WEB APPLICATION
Virtual Hosting L'Hosting virtuale è un metodo usato sui server web per ospitare il sito web per più di un nome di dominio sullo stesso server, oppure ospitare diversi siti web, talvolta sullo stesso indirizzo IP. Vi sono diverse tecniche di virtual hosting, con diverse limitazioni. Attenzione! Il server è configurato con un solo indirizzo IP, a cui sono associati i nomi DNS di tutti i siti ospitati. Quando il server riceve una richiesta HTTP, legge l'hostname richiesto e decide di conseguenza quale dominio servire. Questo permette di utilizzare un solo indirizzo IP per molti siti utilizzando porte TCP standard e URL senza la specifica della porta. Questa tecnica è comunemente usata da providers di spazio web per siti internet. Hostmap è il tool più utilizzato LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle COTS: 1) Gran parte del web è realizzato con questo tipo di applicazioni (Joomla, Wordpress, Magento, Virtuemart, Alfresco, Liferay, ecc.ecc.) 2) Può essere sia commerciale che open source 3) Il codice sorgente è disponibile a tutti, anche ai malitenzionati! 4) Gli add-on o componenti aggiuntivi sono scritti non sempre in maniera corretta e contengono molte vulnerabilità 5) La ricerca su internet delle vulnerabilità e degli exploit è alcune volte banale. Come? JoomScan  http://sourceforge.net/projects/joomscan/ Secunia Database x verificare la vulnerabilità BurpSuite x crawling del sito web Osservare HTML con attenzione Osservare banner, footer, header Live http Headers for Firefox Browser Osservare gli URL: index.php?option=%component_name%&task=%xxx%&task=%value% LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle CUSTOM Primo passo  Studiare la logica dell’applicazione! 1. A cosa serve? 2. Consente la registrazione degli utenti? 3. Ha un pannello di amministrazione? 4. Accetta input dall’utente? 5. Che tipo di input accetta? 6. Accetta upload di file? 7. Usa Javascript, flash, ecc.ecc. 8. Ci sono applicazioni cablate nell’applicazione custom? LA SICUREZZA DELLE WEB APPLICATION
Fingerprinting Frameworks and Application Analizziamo la superficie di attacco  Convalida lato client oppure lato server  Sql injection  Logica dell’applicazione errata  Cross Site Scripting  Interazione con il database  Sql injection  Upload di file  Che tipo di files posso caricare  Visualizzazione dei dati  Cross Site Scripting  Reindirizzamenti  HTTP response splitting  Pagine di Login  Bypassare il login (Sessions e cookies non gestiti correttamente)  Bruteforce  Messaggi di errore  Informazioni importanti sulla struttura dell’applicazione o del DB. LA SICUREZZA DELLE WEB APPLICATION
Resource Enumeration • Crawling/Spider del sito web (ad esempio: BURPSUITE) • DirBuster Differenze tra uno Spider e DirBuster? - Il crawling del sito web si effettuà con gli spider e quindi è basato sui link e sui form. - DirBuster è progetto Owasp con lo scopo di andare a scoprire tutti quei file e quelle cartelle presenti in un sito web, che volutamente si vogliono nascondere da occhi indiscreti. Questo approccio è conosciuto come security by obscurity ed è uno degli approcci più sbagliati e più controproducenti che un web developer possa seguire. LA SICUREZZA DELLE WEB APPLICATION
Resource Enumeration • Attenzione ai file rinominati lasciati dallo sviluppatore sul server, ad esempio il file configuration.php di Joomla che si potrebbe trovare come configuration.bak o .old • Attenzione ad altri files importanti rinominati per errore e quindi interpretati come file di testo e non dal server • Se il motore è IIS con ASP quasi sicuramente ci saranno file .inc che venivano utilizzati per essere inclusi in file ASP • Directory listing • Opzioni HTTP (PUT permesso) put /images/attacco.php http/1.1 content-lenght:xxx[invio] Content html [invio] [invio] Il file è creato è può essere richiamato da browser LA SICUREZZA DELLE WEB APPLICATION
Resource Enumeration Google Hacking http://johnny.ihackstuff.com/ghdb/ http://www.googleguide.com/advanced_operators.html Ad esempio Filetype=‘’bak’’ Filetype=‘’inc’’ E aggiungendo: site:www.target.com Gli operatori presenti sulla guida avanzata di Google sono centinaia! LA SICUREZZA DELLE WEB APPLICATION
Iniziamo con un po’ di pratica. Quali sono le informazioni che cerchiamo? 1) Dati dell’organizzazione 2) IP, domini e sottodomini 3) Infrastruttura (Server, CMS, Framework, Database) 4) Logica dell’applicazione 5) Host virtuali sul server 6) La struttura dell’applicazione 7) File nascosti nell’applicazione 8) Username & Password LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
I primi risultati: LA SICUREZZA DELLE WEB APPLICATION
Approfondiamo il netblock sul db RIPE LA SICUREZZA DELLE WEB APPLICATION
Approfondiamo i record DNS con nslookup C:Usersmassimo.chirivi>nslookup DNS request timed out. > sviluppoeconomico.gov.it timeout was 2 seconds. Server: [151.99.125.2] Server predefinito: UnKnown Address: 151.99.125.2 Address: fe80::88f0:f3d6:3c8b:26eb Risposta da un server non autorevole: Nome: sviluppoeconomico.gov.it > sviluppoeconomico.gov.it Address: 88.49.250.35 Server: UnKnown Address: fe80::88f0:f3d6:3c8b:26eb > server ns1.sviluppoeconomico.gov.it Server predefinito: ns1.sviluppoeconomico.gov.it DNS request timed out. Address: 88.49.250.35 timeout was 2 seconds. > sviluppoeconomico.gov.it DNS request timed out. Server: ns1.sviluppoeconomico.gov.it timeout was 2 seconds. Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. Nome: sviluppoeconomico.gov.it Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. *** Tempo scaduto per la richiesta a UnKnown > server 151.99.125.2 DNS request timed out. timeout was 2 seconds. Server predefinito: [151.99.125.2] Address: 151.99.125.2 LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
Una sorpresa dopo 1 ora di lavoro Se digitiamo sul browser: http:// vcse.sviluppoeconomico.gov.it Ricercare vulnerabilità sul web User & Password di default Brute Force sul form LA SICUREZZA DELLE WEB APPLICATION
LA SICUREZZA DELLE WEB APPLICATION
Grazie per l’attenzione www.massimochirivi.net info@massimochirivi.net Facebook Skype: mchirivi Linkedin Sito smau – www.smau.it Sito AIPSI -- www.aipsi.org Studia, prova, amplia, ricerca, analizza, migliora … … condividi con gli altri anche tu … sempre con il cappello bianco LA SICUREZZA DELLE WEB APPLICATION

Recommended

SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMAU
 
Linux Day2005
Linux Day2005Linux Day2005
Linux Day2005Emmanuele Bello
 
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
 
Hosting wordpress ssd
Hosting wordpress ssdHosting wordpress ssd
Hosting wordpress ssdrockethosting
 
Presentazione prodotti Cyberoam
Presentazione prodotti CyberoamPresentazione prodotti Cyberoam
Presentazione prodotti CyberoamTeam Sistemi
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filteringmmarcuzzi
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
 

Recommended

SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMAU
 
Linux Day2005
Linux Day2005Linux Day2005
Linux Day2005Emmanuele Bello
 
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...
Wordpress Security Regole e Plugin base per evitare l'hacking del vostro sito...Silvia Cariello
 
Hosting wordpress ssd
Hosting wordpress ssdHosting wordpress ssd
Hosting wordpress ssdrockethosting
 
Presentazione prodotti Cyberoam
Presentazione prodotti CyberoamPresentazione prodotti Cyberoam
Presentazione prodotti CyberoamTeam Sistemi
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filteringmmarcuzzi
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
 
Smau Padova 2015 - Marco Sampietro
Smau Padova 2015 - Marco SampietroSmau Padova 2015 - Marco Sampietro
Smau Padova 2015 - Marco SampietroSMAU
 
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in Italia
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in ItaliaDIGITAL MANUFACTURING: i risultati di un'indagine empirica in Italia
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in ItaliaMassimo Zanardini
 
Smau milano 2013 vito titaro
Smau milano 2013 vito titaroSmau milano 2013 vito titaro
Smau milano 2013 vito titaroSMAU
 
Linea temporale d’ Innovazione
Linea temporale d’ Innovazione Linea temporale d’ Innovazione
Linea temporale d’ Innovazione SMAU
 
Cultura digitale: l'agenda che vorrei
Cultura digitale: l'agenda che vorreiCultura digitale: l'agenda che vorrei
Cultura digitale: l'agenda che vorreiRoberto Scano
 
Smau Napoli 2014 - Fabio Montini
Smau Napoli 2014 - Fabio MontiniSmau Napoli 2014 - Fabio Montini
Smau Napoli 2014 - Fabio MontiniSMAU
 
Competenze per lo sviluppo software nellera del web
Competenze per lo sviluppo software nellera del webCompetenze per lo sviluppo software nellera del web
Competenze per lo sviluppo software nellera del webDiego La Monica
 
Smau Torino 2015 - Paolo Pasini
Smau Torino 2015 - Paolo PasiniSmau Torino 2015 - Paolo Pasini
Smau Torino 2015 - Paolo PasiniSMAU
 
Professionalità digitali: come identificarle per potenziare l’innovazione in ...
Professionalità digitali: come identificarle per potenziare l’innovazione in ...Professionalità digitali: come identificarle per potenziare l’innovazione in ...
Professionalità digitali: come identificarle per potenziare l’innovazione in ...Roberto Scano
 
Presentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoPresentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoDiego La Monica
 
Smau bologna 2013 armando travaglini
Smau bologna 2013 armando travagliniSmau bologna 2013 armando travaglini
Smau bologna 2013 armando travagliniSMAU
 
Smau Milano 2014 Skebby
Smau Milano 2014 SkebbySmau Milano 2014 Skebby
Smau Milano 2014 SkebbySMAU
 
Smau Napoli 2013 Paolo Pasini
Smau Napoli 2013 Paolo PasiniSmau Napoli 2013 Paolo Pasini
Smau Napoli 2013 Paolo PasiniSMAU
 
SMAU Torino 2014 - I social media stanno conquistando il mercato B2B
SMAU Torino 2014 - I social media stanno conquistando il mercato B2BSMAU Torino 2014 - I social media stanno conquistando il mercato B2B
SMAU Torino 2014 - I social media stanno conquistando il mercato B2BFreedata Labs
 
Vendere con Social Commerce
Vendere con Social CommerceVendere con Social Commerce
Vendere con Social CommerceRoberto Marmo
 
Smau Firenze 2015 - Simone Terreni
Smau Firenze 2015 - Simone TerreniSmau Firenze 2015 - Simone Terreni
Smau Firenze 2015 - Simone TerreniSMAU
 
Sito web: costo di marketing o nuova fonte di guadagno?
Sito web: costo di marketing o nuova fonte di guadagno?Sito web: costo di marketing o nuova fonte di guadagno?
Sito web: costo di marketing o nuova fonte di guadagno?39Marketing
 
Smau Milano 2013 Adico
Smau Milano 2013 AdicoSmau Milano 2013 Adico
Smau Milano 2013 AdicoSMAU
 
Smau Milano 2015 - Consorzio CBI
Smau Milano 2015 - Consorzio CBISmau Milano 2015 - Consorzio CBI
Smau Milano 2015 - Consorzio CBISMAU
 
Digitalizzare la cultura
Digitalizzare la cultura Digitalizzare la cultura
Digitalizzare la cultura Netlife s.r.l.
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
Tesina Grupposis
Tesina GrupposisTesina Grupposis
Tesina GrupposisLuca Mengoni
 

More Related Content

Viewers also liked

Smau Padova 2015 - Marco Sampietro
Smau Padova 2015 - Marco SampietroSmau Padova 2015 - Marco Sampietro
Smau Padova 2015 - Marco SampietroSMAU
 
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in Italia
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in ItaliaDIGITAL MANUFACTURING: i risultati di un'indagine empirica in Italia
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in ItaliaMassimo Zanardini
 
Smau milano 2013 vito titaro
Smau milano 2013 vito titaroSmau milano 2013 vito titaro
Smau milano 2013 vito titaroSMAU
 
Linea temporale d’ Innovazione
Linea temporale d’ Innovazione Linea temporale d’ Innovazione
Linea temporale d’ Innovazione SMAU
 
Cultura digitale: l'agenda che vorrei
Cultura digitale: l'agenda che vorreiCultura digitale: l'agenda che vorrei
Cultura digitale: l'agenda che vorreiRoberto Scano
 
Smau Napoli 2014 - Fabio Montini
Smau Napoli 2014 - Fabio MontiniSmau Napoli 2014 - Fabio Montini
Smau Napoli 2014 - Fabio MontiniSMAU
 
Competenze per lo sviluppo software nellera del web
Competenze per lo sviluppo software nellera del webCompetenze per lo sviluppo software nellera del web
Competenze per lo sviluppo software nellera del webDiego La Monica
 
Smau Torino 2015 - Paolo Pasini
Smau Torino 2015 - Paolo PasiniSmau Torino 2015 - Paolo Pasini
Smau Torino 2015 - Paolo PasiniSMAU
 
Professionalità digitali: come identificarle per potenziare l’innovazione in ...
Professionalità digitali: come identificarle per potenziare l’innovazione in ...Professionalità digitali: come identificarle per potenziare l’innovazione in ...
Professionalità digitali: come identificarle per potenziare l’innovazione in ...Roberto Scano
 
Presentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoPresentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoDiego La Monica
 
Smau bologna 2013 armando travaglini
Smau bologna 2013 armando travagliniSmau bologna 2013 armando travaglini
Smau bologna 2013 armando travagliniSMAU
 
Smau Milano 2014 Skebby
Smau Milano 2014 SkebbySmau Milano 2014 Skebby
Smau Milano 2014 SkebbySMAU
 
Smau Napoli 2013 Paolo Pasini
Smau Napoli 2013 Paolo PasiniSmau Napoli 2013 Paolo Pasini
Smau Napoli 2013 Paolo PasiniSMAU
 
SMAU Torino 2014 - I social media stanno conquistando il mercato B2B
SMAU Torino 2014 - I social media stanno conquistando il mercato B2BSMAU Torino 2014 - I social media stanno conquistando il mercato B2B
SMAU Torino 2014 - I social media stanno conquistando il mercato B2BFreedata Labs
 
Vendere con Social Commerce
Vendere con Social CommerceVendere con Social Commerce
Vendere con Social CommerceRoberto Marmo
 
Smau Firenze 2015 - Simone Terreni
Smau Firenze 2015 - Simone TerreniSmau Firenze 2015 - Simone Terreni
Smau Firenze 2015 - Simone TerreniSMAU
 
Sito web: costo di marketing o nuova fonte di guadagno?
Sito web: costo di marketing o nuova fonte di guadagno?Sito web: costo di marketing o nuova fonte di guadagno?
Sito web: costo di marketing o nuova fonte di guadagno?39Marketing
 
Smau Milano 2013 Adico
Smau Milano 2013 AdicoSmau Milano 2013 Adico
Smau Milano 2013 AdicoSMAU
 
Smau Milano 2015 - Consorzio CBI
Smau Milano 2015 - Consorzio CBISmau Milano 2015 - Consorzio CBI
Smau Milano 2015 - Consorzio CBISMAU
 
Digitalizzare la cultura
Digitalizzare la cultura Digitalizzare la cultura
Digitalizzare la cultura Netlife s.r.l.
 

Viewers also liked (20)

Smau Padova 2015 - Marco Sampietro
Smau Padova 2015 - Marco SampietroSmau Padova 2015 - Marco Sampietro
Smau Padova 2015 - Marco Sampietro
 
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in Italia
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in ItaliaDIGITAL MANUFACTURING: i risultati di un'indagine empirica in Italia
DIGITAL MANUFACTURING: i risultati di un'indagine empirica in Italia
 
Smau milano 2013 vito titaro
Smau milano 2013 vito titaroSmau milano 2013 vito titaro
Smau milano 2013 vito titaro
 
Linea temporale d’ Innovazione
Linea temporale d’ Innovazione Linea temporale d’ Innovazione
Linea temporale d’ Innovazione
 
Cultura digitale: l'agenda che vorrei
Cultura digitale: l'agenda che vorreiCultura digitale: l'agenda che vorrei
Cultura digitale: l'agenda che vorrei
 
Smau Napoli 2014 - Fabio Montini
Smau Napoli 2014 - Fabio MontiniSmau Napoli 2014 - Fabio Montini
Smau Napoli 2014 - Fabio Montini
 
Competenze per lo sviluppo software nellera del web
Competenze per lo sviluppo software nellera del webCompetenze per lo sviluppo software nellera del web
Competenze per lo sviluppo software nellera del web
 
Smau Torino 2015 - Paolo Pasini
Smau Torino 2015 - Paolo PasiniSmau Torino 2015 - Paolo Pasini
Smau Torino 2015 - Paolo Pasini
 
Professionalità digitali: come identificarle per potenziare l’innovazione in ...
Professionalità digitali: come identificarle per potenziare l’innovazione in ...Professionalità digitali: come identificarle per potenziare l’innovazione in ...
Professionalità digitali: come identificarle per potenziare l’innovazione in ...
 
Presentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoPresentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successo
 
Smau bologna 2013 armando travaglini
Smau bologna 2013 armando travagliniSmau bologna 2013 armando travaglini
Smau bologna 2013 armando travaglini
 
Smau Milano 2014 Skebby
Smau Milano 2014 SkebbySmau Milano 2014 Skebby
Smau Milano 2014 Skebby
 
Smau Napoli 2013 Paolo Pasini
Smau Napoli 2013 Paolo PasiniSmau Napoli 2013 Paolo Pasini
Smau Napoli 2013 Paolo Pasini
 
SMAU Torino 2014 - I social media stanno conquistando il mercato B2B
SMAU Torino 2014 - I social media stanno conquistando il mercato B2BSMAU Torino 2014 - I social media stanno conquistando il mercato B2B
SMAU Torino 2014 - I social media stanno conquistando il mercato B2B
 
Vendere con Social Commerce
Vendere con Social CommerceVendere con Social Commerce
Vendere con Social Commerce
 
Smau Firenze 2015 - Simone Terreni
Smau Firenze 2015 - Simone TerreniSmau Firenze 2015 - Simone Terreni
Smau Firenze 2015 - Simone Terreni
 
Sito web: costo di marketing o nuova fonte di guadagno?
Sito web: costo di marketing o nuova fonte di guadagno?Sito web: costo di marketing o nuova fonte di guadagno?
Sito web: costo di marketing o nuova fonte di guadagno?
 
Smau Milano 2013 Adico
Smau Milano 2013 AdicoSmau Milano 2013 Adico
Smau Milano 2013 Adico
 
Smau Milano 2015 - Consorzio CBI
Smau Milano 2015 - Consorzio CBISmau Milano 2015 - Consorzio CBI
Smau Milano 2015 - Consorzio CBI
 
Digitalizzare la cultura
Digitalizzare la cultura Digitalizzare la cultura
Digitalizzare la cultura
 

Similar to Smau Bari 2013 Massimo Chirivì

EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)Euery
 
Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecPaolo Stagno
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Meetup Progressive Web App
Meetup Progressive Web AppMeetup Progressive Web App
Meetup Progressive Web Appdotnetcode
 
Meetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web AppMeetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web Appdotnetcode
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...IBM Italia Web Team
 
Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Mauro Lorenzutti
 
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayAruba S.p.A.
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsMarco Morana
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaSimone Onofri
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSMAU
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilitàraffaele_forte
 

Similar to Smau Bari 2013 Massimo Chirivì (20)

Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Tesina Grupposis
Tesina GrupposisTesina Grupposis
Tesina Grupposis
 
EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)
 
Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSec
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
WordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWAWordCamp Catania 2019 PWA e TWA
WordCamp Catania 2019 PWA e TWA
 
Meetup Progressive Web App
Meetup Progressive Web AppMeetup Progressive Web App
Meetup Progressive Web App
 
Meetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web AppMeetup Fluent Design e Progressive Web App
Meetup Fluent Design e Progressive Web App
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
 
Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3Aumentiamo la sicurezza in TYPO3
Aumentiamo la sicurezza in TYPO3
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
 
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web Applications
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e Difesa
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
 

More from SMAU

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...SMAU
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorSMAU
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
 

More from SMAU (20)

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
 

Smau Bari 2013 Massimo Chirivì

  • 1. LA SICUREZZA DELLE WEB APPLICATION Massimo Chirivì LA SICUREZZA DELLE WEB APPLICATION
  • 2. Sommario • Presentazione • Ethical Hacking • Information Gathering • Fingerprinting Web Server • Subdomain Enumeration • Virtual Hosting • Fingerprinting Frameworks and Application • Resource Enumeration LA SICUREZZA DELLE WEB APPLICATION
  • 3. Chi sono • Dal 1988 con la passione dell’informatica • Dal 1996 al servizio delle aziende per lavoro • Dal 1998 al servizio della P.A. per il bene di tutti • Dal 2010 in una delle più grandi aziende ICT d’Italia. Di cosa mi occupo - Information Security - System Administrator - Ethical Hacking Condividere è un dovere etico… La condivisione è conoscenza. LA SICUREZZA DELLE WEB APPLICATION
  • 4. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Associazione Capitolo di singoli Italiano di professionisti ISSA Oltre 10.000 esperti in 200 soci in tutto il Italia mondo LA SICUREZZA DELLE WEB APPLICATION
  • 5. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche LA SICUREZZA DELLE WEB APPLICATION
  • 6. Ethical Hacking • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati. • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro. • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. • L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo. LA SICUREZZA DELLE WEB APPLICATION
  • 7. Information Gathering - Rappresenta la fase della raccolta di informazioni. Quante più ne abbiamo meglio valuteremo la sicurezza dell’applicazione web. Quindi bisogna organizzare le informazioni in modo corretto. - E’ la fase più importante del penetration test. - Durante le fasi successive potrebbe servire qualsiasi particolare. NON CI SONO INFORMAZIONI NON NECESSARIE! LA SICUREZZA DELLE WEB APPLICATION
  • 8. Fingerprinting Web Server • Dobbiamo analizzare l’infrastruttura, cioè tutto quello che c’è sul server per permettere il corretto funzionamento dell’applicazione web – Server Web (Apache, IIS, Tomcat) – Sistema operativo (Windows, Linux) – DB ( Sql server, Mysql, Oracle, PG) – Moduli rewrite (Rewrite x Apache – Isapi o Ionic Elicon x IIS) – Modulo security – Linguaggi utilizzati (PHP, Javascript, ASP, ASP.NET, Java) – Librerie e script utilizzati (Jquery – Mootools) – Flash LA SICUREZZA DELLE WEB APPLICATION
  • 9. Subdomain Enumeration Bisogna trovare tutti i sottodomini situati all’interno di un dominio? 1) Ampliare la superficie di attacco 2) Rilevare pannelli di gestione backend 3) Applicazione web situato sul 3° livello Come? • Netcraft • Subdomainer.py • Google o Bing (metodo più utilizzato) • Crawling o Brute Force (Burp Suite) • Zone Transfers (utility DIG o Nslookup) LA SICUREZZA DELLE WEB APPLICATION
  • 10. Subdomain Enumeration C:nslookup  Server [nameserver]  Ls –d domain.com Oppure con bing.com LA SICUREZZA DELLE WEB APPLICATION
  • 11. Virtual Hosting L'Hosting virtuale è un metodo usato sui server web per ospitare il sito web per più di un nome di dominio sullo stesso server, oppure ospitare diversi siti web, talvolta sullo stesso indirizzo IP. Vi sono diverse tecniche di virtual hosting, con diverse limitazioni. Attenzione! Il server è configurato con un solo indirizzo IP, a cui sono associati i nomi DNS di tutti i siti ospitati. Quando il server riceve una richiesta HTTP, legge l'hostname richiesto e decide di conseguenza quale dominio servire. Questo permette di utilizzare un solo indirizzo IP per molti siti utilizzando porte TCP standard e URL senza la specifica della porta. Questa tecnica è comunemente usata da providers di spazio web per siti internet. Hostmap è il tool più utilizzato LA SICUREZZA DELLE WEB APPLICATION
  • 12. Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle COTS: 1) Gran parte del web è realizzato con questo tipo di applicazioni (Joomla, Wordpress, Magento, Virtuemart, Alfresco, Liferay, ecc.ecc.) 2) Può essere sia commerciale che open source 3) Il codice sorgente è disponibile a tutti, anche ai malitenzionati! 4) Gli add-on o componenti aggiuntivi sono scritti non sempre in maniera corretta e contengono molte vulnerabilità 5) La ricerca su internet delle vulnerabilità e degli exploit è alcune volte banale. Come? JoomScan  http://sourceforge.net/projects/joomscan/ Secunia Database x verificare la vulnerabilità BurpSuite x crawling del sito web Osservare HTML con attenzione Osservare banner, footer, header Live http Headers for Firefox Browser Osservare gli URL: index.php?option=%component_name%&task=%xxx%&task=%value% LA SICUREZZA DELLE WEB APPLICATION
  • 13. Fingerprinting Frameworks and Application Distinguiamo innanzitutto le applicazioni COTS dalle CUSTOM Soffermiamoci sulle CUSTOM Primo passo  Studiare la logica dell’applicazione! 1. A cosa serve? 2. Consente la registrazione degli utenti? 3. Ha un pannello di amministrazione? 4. Accetta input dall’utente? 5. Che tipo di input accetta? 6. Accetta upload di file? 7. Usa Javascript, flash, ecc.ecc. 8. Ci sono applicazioni cablate nell’applicazione custom? LA SICUREZZA DELLE WEB APPLICATION
  • 14. Fingerprinting Frameworks and Application Analizziamo la superficie di attacco  Convalida lato client oppure lato server  Sql injection  Logica dell’applicazione errata  Cross Site Scripting  Interazione con il database  Sql injection  Upload di file  Che tipo di files posso caricare  Visualizzazione dei dati  Cross Site Scripting  Reindirizzamenti  HTTP response splitting  Pagine di Login  Bypassare il login (Sessions e cookies non gestiti correttamente)  Bruteforce  Messaggi di errore  Informazioni importanti sulla struttura dell’applicazione o del DB. LA SICUREZZA DELLE WEB APPLICATION
  • 15. Resource Enumeration • Crawling/Spider del sito web (ad esempio: BURPSUITE) • DirBuster Differenze tra uno Spider e DirBuster? - Il crawling del sito web si effettuà con gli spider e quindi è basato sui link e sui form. - DirBuster è progetto Owasp con lo scopo di andare a scoprire tutti quei file e quelle cartelle presenti in un sito web, che volutamente si vogliono nascondere da occhi indiscreti. Questo approccio è conosciuto come security by obscurity ed è uno degli approcci più sbagliati e più controproducenti che un web developer possa seguire. LA SICUREZZA DELLE WEB APPLICATION
  • 16. Resource Enumeration • Attenzione ai file rinominati lasciati dallo sviluppatore sul server, ad esempio il file configuration.php di Joomla che si potrebbe trovare come configuration.bak o .old • Attenzione ad altri files importanti rinominati per errore e quindi interpretati come file di testo e non dal server • Se il motore è IIS con ASP quasi sicuramente ci saranno file .inc che venivano utilizzati per essere inclusi in file ASP • Directory listing • Opzioni HTTP (PUT permesso) put /images/attacco.php http/1.1 content-lenght:xxx[invio] Content html [invio] [invio] Il file è creato è può essere richiamato da browser LA SICUREZZA DELLE WEB APPLICATION
  • 17. Resource Enumeration Google Hacking http://johnny.ihackstuff.com/ghdb/ http://www.googleguide.com/advanced_operators.html Ad esempio Filetype=‘’bak’’ Filetype=‘’inc’’ E aggiungendo: site:www.target.com Gli operatori presenti sulla guida avanzata di Google sono centinaia! LA SICUREZZA DELLE WEB APPLICATION
  • 18. Iniziamo con un po’ di pratica. Quali sono le informazioni che cerchiamo? 1) Dati dell’organizzazione 2) IP, domini e sottodomini 3) Infrastruttura (Server, CMS, Framework, Database) 4) Logica dell’applicazione 5) Host virtuali sul server 6) La struttura dell’applicazione 7) File nascosti nell’applicazione 8) Username & Password LA SICUREZZA DELLE WEB APPLICATION
  • 19. LA SICUREZZA DELLE WEB APPLICATION
  • 20. LA SICUREZZA DELLE WEB APPLICATION
  • 21. LA SICUREZZA DELLE WEB APPLICATION
  • 22. LA SICUREZZA DELLE WEB APPLICATION
  • 23. LA SICUREZZA DELLE WEB APPLICATION
  • 24. I primi risultati: LA SICUREZZA DELLE WEB APPLICATION
  • 25. Approfondiamo il netblock sul db RIPE LA SICUREZZA DELLE WEB APPLICATION
  • 26. Approfondiamo i record DNS con nslookup C:Usersmassimo.chirivi>nslookup DNS request timed out. > sviluppoeconomico.gov.it timeout was 2 seconds. Server: [151.99.125.2] Server predefinito: UnKnown Address: 151.99.125.2 Address: fe80::88f0:f3d6:3c8b:26eb Risposta da un server non autorevole: Nome: sviluppoeconomico.gov.it > sviluppoeconomico.gov.it Address: 88.49.250.35 Server: UnKnown Address: fe80::88f0:f3d6:3c8b:26eb > server ns1.sviluppoeconomico.gov.it Server predefinito: ns1.sviluppoeconomico.gov.it DNS request timed out. Address: 88.49.250.35 timeout was 2 seconds. > sviluppoeconomico.gov.it DNS request timed out. Server: ns1.sviluppoeconomico.gov.it timeout was 2 seconds. Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. Nome: sviluppoeconomico.gov.it Address: 88.49.250.35 DNS request timed out. timeout was 2 seconds. *** Tempo scaduto per la richiesta a UnKnown > server 151.99.125.2 DNS request timed out. timeout was 2 seconds. Server predefinito: [151.99.125.2] Address: 151.99.125.2 LA SICUREZZA DELLE WEB APPLICATION
  • 27. LA SICUREZZA DELLE WEB APPLICATION
  • 28. Una sorpresa dopo 1 ora di lavoro Se digitiamo sul browser: http:// vcse.sviluppoeconomico.gov.it Ricercare vulnerabilità sul web User & Password di default Brute Force sul form LA SICUREZZA DELLE WEB APPLICATION
  • 29. LA SICUREZZA DELLE WEB APPLICATION
  • 30. Grazie per l’attenzione www.massimochirivi.net info@massimochirivi.net Facebook Skype: mchirivi Linkedin Sito smau – www.smau.it Sito AIPSI -- www.aipsi.org Studia, prova, amplia, ricerca, analizza, migliora … … condividi con gli altri anche tu … sempre con il cappello bianco LA SICUREZZA DELLE WEB APPLICATION