OWASP WebGoat Project
WebGoat è una applicazione web "insicura" disegnata da OWASP con lo scopo di insegnare (tramite lezioni) gli aspetti principali legati alla sicurezza di questa tipologia di prodotti. Lo scopo principale del progetto WebGoat è quello di creare un ambiente didattico interattivo per insegnare la sicurezza web, o meglio: l'INsicurezza web.
Spambox.us
Vorrei segnalare l'esistenza di un servizio che, seppur non sia nuovissimo, forse molti ancora non conoscono. Sto parlando di Spambox.us, un sito che sarà sicuramente già noto a quelle persone che ogni tanto consultano i miei deli.cio.us, la sua funzione è molto semplice: con un unico clic vi permette di generare un indirizzo email temporaneo […]
RID Cycling: il pericolo delle traduzioni SID\Nome anonime – the danger in anonymous SID\Name translation
Ottenere nomi utente validi all'interno di una rete è un passo che fornisce ad un attaccante un grande vantaggio strategico, specialmente quando si tratta di un'operazione che può essere portata a termine quasi senza lasciare tracce. Tecnicamente parlando mi riferisco al processo di enumerazione degli account utente, possedere questo tipo di informazioni può infatti rendere […]
BindShell.net BeEF
Segnalo l'esistenza di questo interessante progetto chiamato BeEF. Dalla homepage del progetto: BeEF is the browser exploitation framework. A professional tool to demonstrate the real-time impact of browser vulnerabilities. Development has focused on creating a modular structure making new module development a trivial process with the intelligence residing within BeEF. Current modules include the first […]
Mascherare il web server per una maggiore sicurezza – Mask your web server for enhanced security
In questo breve ma interessante articolo, focalizzato principalmente su Microsoft Internet Information Services (IIS), vengono messi in luce alcuni dettagli che andrebbero presi in considerazione nel momento in cui si decide di mettere in sicurezza i propri servizi web; un buon punto di partenza per lo scopo appena descritto è sicuramente costituito dalla rimozione di […]
Cross Site Scripting – The Underestimated Exploit
Segnalatomi da un amico: una breve ma interessante lettura sul cross site scripting... l'articolo in questione propone anche un esempio pratico molto efficace.
Corso – Introduzione al Penetration Testing
A partire dal 15/11/2007 sarò presso ISFOR 2000 di Brescia per tenere un corso di introduzione al penetration testing di reti Microsoft Windows.
Installare Metasploit Framework 3 sotto Cygwin – How to install Metasploit Framework 3 under Cygwin
Scrivo questo tutorial per completare la seconda parte della mia serie dedicata a Metasploit Framework, l'articolo è rivolto a chiunque voglia poter usufruire di quasi tutte le sue funzionalità anche in ambiente Windows. Ho scritto: "quasi tutte" riferendomi ai componenti msfconsole (completa delle sue funzioni database, nmap e auto-pwn) e all'interfaccia di gestione via web msfweb; il corretto funzionamento del componente msfgui è invece escluso.
Vi avviso fin da subito che, nonostante abbia cercato di diminuire il più possibile il numero degli interventi di configurazione manuale, la procedura che descriverò richiede comunque una media esperienza nell'uso del sistema operativo Windows e della shell dei comandi Unix.
More...
Guida a Metasploit Framework Parte 2 – Installazione e aggiornamento
In questa seconda parte della serie dedicata a Metasploit Framework ne illustrerò l'installazione su piattaforma linux (Ubuntu) e Windows (Windows XP).