In questi giorni Adobe ha reso disponibili gli update dei software Reader e Acrobat al fine di fixare vulnerabilita' critiche riguardanti tutte le piattaforme e molto sfruttate dagli attackers in questo ultimo periodo alcuni dei quali sfruttavano le debolezze dei f [...continua]

Cio' che presenteremo in questo articolo, e' una "new entry'' del mondo delle vulnerabilita' la quale, come vedremo, puo' permettere all'attaccante di portare a termine operazioni quali information stealing, CSRF, privacy violation, compromissione di sessioni e mol [...continua]

In questo articolo, presenteremo un attacco appartenente alla famiglia "Cross Site" che, se condotto in un certo modo, e' in grado di compromettere seriamente sessioni di navigazione, transazioni on-line, dati personali e cosi' via, seguendo una tecnica dal concett [...continua]

Burp suite è uno dei più popolari tool per il penetration web application, disponibile in rete sia in una versione free che commerciale. Portswigger.net, sito degli sviluppatori dove è possibile scaricare la suite completa, la presenta come una piattaforma per [...continua]

Dopo un’attenta analisi sui meccanismi per generare e gestire la sessione e una panoramica su come alcuni possibili attacchi sfruttano le vulnerabilità insite in tali procedimenti, vengono ora presentante delle linee guida che è possibile seguire per poter realiz [...continua]

Nell’ambito della gestione della sessione, la prerogativa di un’applicazione web sicura non è solo di assicurare che, in fase di generazione, i token di sessione:

1. non contengano informazioni significative;

2. non siano prevedibili da parte di un’attaccante [...continua]