Burp Suite: Penetration test di mobile app e web

burp suite

Burp Suite è un software progettato per analizzare il traffico di rete generato da applicazioni web-based

Utilizzato per esaminare e manipolare il flusso di dati dal browser web verso il server di riferimento, come ad esempio un sito Internet, è strutturato in una serie di strumenti che consentono all’utente di eseguire diversi Penetration Test e attacchi di vario genere.

E’ composto principalmente da questi componenti:

  • Proxy: permette di ispezionare e manipolare il traffico di rete tra il brower web e l’applicazione da analizzare.
  • Spider: indicizza il contenuto del sito, generando una lista di URL da verificare per individuare eventuali falle di sicurezza.
  • Scanner:  questo tool, disponibile solamente con la versione “Professional”, esegue uno scan automatizzato in cerca di vulnerabilità note pubblicamente.
  • Intruder: utile per generare attacchi personalizzati, quindi exploit non presenti del database di Burp Suite.
  • Repeater: registra ogni richiesta eseguita tra client e server e permette di riprodurla successivamente simulando l’identità dell’emittente.
  • Sequencer: permette di verificare la “casualità” dei dati, ad esempio gli ID di sessione, i token utilizzati per il reset delle password, ecc.

Sono disponibili due versioni di questo software: Free Edition e Professional Edition.

Intervista a Luca Ercoli, Ethical Hacker Seeweb

Intervista Luca Ercoli SeewebOltre a fornire un servizio di ultima generazione e altamente performante, noi di Seeweb teniamo alla sicurezza e alla tranquillità del cliente.

Con il termine sicurezza non ci riferiamo solo alla sorveglianza dei locali (che avviene 24/7/365 tramite personale proprio o esterno autorizzato), ma anche alla sicurezza dei servizi che offriamo. Per questo motivo all’interno del nostro team ci sono esperti che giorno dopo giorno si occupano di studiare a fondo problematiche che potrebbero impattare i nostri servizi in modo da capire le dinamiche per risolverle prima che diventino un problema reale.

A tal riguardo abbiamo fatto qualche domanda a Luca Ercoli, Ethical Hacker Seeweb, che si occupa della risoluzione di problemi di sicurezza, livello di connettività e servizi web.

Seeweb Hacking Contest: speciale “falle di sicurezza”

Hacking Contest speciale falle di sicurezzaDall’Hacking Contest all’intervista: Abdel Adim Oisfi ci parla di falle di sicurezza.

A dicembre abbiamo lanciato l’Hacking Contest operazione Di4m0nd e abbiamo avuto modo di conoscere degli esperti di sicurezza informatica ai quali abbiamo deciso di fare qualche domanda su questioni che interessano sia aziende che privati. Per l’occasione Abdel, che lavora nel campo della sicurezza informatica e dello Sviluppo Web presso Shielder, ci parla di falle di sicurezza. Secondo il rapporto annuale di sicurezza realizzato da Cisco, c’è un divario sempre maggiore tra la percezione che hanno le aziende della propria sicurezza informatica e la realtà.

Le organizzazioni dovrebbero adottare un approccio di tipo collettivo per difendersi dagli attacchi informatici in quanto i cosiddetti black hat sono sempre più abili nello sfruttare a proprio vantaggio lacune nella sicurezza e a nascondere le loro attività. La protezione delle reti aziendali è un tema della massima importanza e delicatezza, occorre infatti migliorare l’approccio alla protezione delle aziende.

Come afferma Jhon N. Stewart, senior vice president di Cisco: “Un tempo ci preoccupavamo degli attacchi DoS, oggi della distruzione dei dati. Una volta ci preoccupavamo del furto degli indirizzi IP, oggi del fallimento dei servizi critici. I nostri avversari sono sempre più abili, sfruttano le nostre debolezze e nascondo i loro attacchi in bella vista. La sicurezza deve fornire protezione per tutta la durata di un attacco e la tecnologia è progettata proprio per questo scopo. I servizi online devono essere pensati con questo tipo di reattività, e tutto ciò deve essere fatto adesso con l’obiettivo di proteggere il nostro futuro”.

Bash Bug: tutto quello che si deve sapere

Dopo Heartbleed arriva Bash Bug, una falla di sicurezza presente nei sistemi Unix/Linux e Mac.

In questi giorni non si fa altro che parlare di una nuova cyber minaccia che prende il nome di Bash Bug o Shellshock scoperta da Stephane Chazelas. Si tratta di una vulnerabilità che risale a 22 anni fa e che riguarda principalmente Bash, l’interprete dei comandi utilizzato nei sistemi Unix-Linux e Mac.

Questa falla è stata considerata dal National Institute of Standards and Technology con il massimo livello. In sostanza, la vulnerabilità dipende dal fatto che un computer invochi Bash in modo sicuro o meno. Invocando Bash tramite una banale ricerca “http” in maniera non sicura si rischia che il sistema che la riceve, esegua qualunque comando voglia, un attaccante potrebbe sfruttarla per prendere il controllo della macchina virtuale dal quale è stata fatta la suddetta richiesta. Uno degli aspetti che più preoccupa questo bug è la semplicità con il quale può essere sfruttato su larga scala.

Secondo quanto affermato dall’Internet Netcraft i server utilizzati in tutto il mondo superano il miliardo e più della metà utilizzano Unix-Linux sul quale è presente la componente Bash incriminata. Ovviamente i sistemi vulnerabili includono anche router domestici, dispositivi appartenenti all’IoT, sistemi medicali e voice over IP.

Accedi

Registrati | Password dimenticata?