Security Solutions for Innovation
Avete mai studiato Docker? Se siete appassionati di web hacking, studiatelo! In questo post vi convincerò che usare Docker per studiare le vulnerabilità del web è una buona cosa! Se volete saperne di più su questo post, seguite la Documentazione di Docker ker Documentation Come si trovano le vulnerabilità? Esistono diverse tecniche: Indipendentemente dalle competenze […]
Ogni team deve tenere in ordine le proprie conoscenze, è obbligatorio avere una documentazione interna ben organizzata e di facile accesso. In questo post mostreremo come creare una base di conoscenza privata e sicura con uno strumento open-source, andiamo avanti!
Gli attacchi a qualsiasi dispositivo sono diventati sempre più complessi: gli aggressori spesso mettono insieme più vulnerabilità in una catena di attacchi che può causare effetti devastanti richiedendo poca interazione da parte dell’utente. Gli obiettivi principali di questo post sono essenzialmente due: in primo luogo, faremo una panoramica generale delle varie fasi di una catena […]
In questo post parleremo di Address Space Layout Randomization (ASLR) e di un modo per aggirare questa misura di protezione. Abbiamo riprodotto questa metodologia su Android sfruttando un vecchio CVE; tuttavia, è possibile applicarla anche in altri contesti. Andiamo a vedere di cosa si tratta!
Lavorare nella sicurezza informatica è come vivere nella giungla. Ogni giorno dovete stare attenti alle possibili minacce che potrebbero mettervi in pericolo. Oggi parliamo di un nuovo tipo di vulnerabilità piuttosto subdola, perché invisibile. Sì, stiamo per parlare di Backdoor invisibili.
Oggi pubblichiamo il primo post di una nuova serie: Hacking Around. Con questa serie, vogliamo condividere alcuni interessanti writeup su macchine CTF in giro per i siti web più famosi. Vi presentiamo quindi un writeup di Previse (Hack The Box machine), andiamo!
Un anno fa ho scoperto un XSS memorizzato nel plugin Contact Form Entries. Si tratta di un caso interessante di vulnerabilità Cross-Site Scripting nelle intestazioni HTTP.
Dopo il post della scorsa settimana sulla CVE-2021-25080 abbiamo ricevuto un’altra CVE da un lavoro simile sullo stesso plugin. In questo caso, abbiamo riscontrato XSS multipli nel plugin Contact Entries: approfondiamo la vulnerabilità!
Alcune settimane fa ho visto uno dei miei colleghi costruire un paio di file Docker per alcuni strumenti legati alla sicurezza di rete che non hanno un’immagine Docker ufficiale. Nella mia mente ho pensato: “Questa immagine Docker non sarà mai aggiornata. Lo odio“. un’idea ha attraversato la mia mente: quanti strumenti non hanno un’immagine Docker […]
Quando si cerca di trovare una metodologia per eseguire un Penetration Test contro un’applicazione Web, bisogna tenere presente che le attività degli hacker per trovare nuove vulnerabilità comportano sempre una grande creatività. È possibile, tuttavia, esplorare tutte le regioni della superficie di attacco dell’applicazione e ottenere la certezza di aver trovato un gran numero di […]
