Archive for the ‘Sicurezza’ Category
Nell’articolo precedente avevamo visto come Accedere alla sessione grafica corrente da remoto attraverso il protoccollo VNC.
Vogliamo adesso vedere come rendere “sicuro” VNC.
Possiamo dire che VNC non offre sicurezza, considerando che le informazioni sono inviate in “plain text”. Per ovviare a questo problema è possibile incapsulare il traffico di VNC all’interno di un tunnel SSH, che cifri le informazioni per rendere “sicura” la connessione. L’idea di base è schematizzata nella figura seguente: (continua…)
Wi-Fi Protected Access (WPA) è un protocollo per la sicurezza delle reti senza filo Wi-Fi creato per tamponare i problemi di scarsa sicurezza del precedente protocollo di sicurezza, il WEP. (continua…)
Come detto negli articoli precedenti, il cross-site scripting è un problema complesso, che si sviluppa su due differenti fronti. Da un lato vi sono i browser web, la cui assenza di sicurezza è insita nella
stessa progettazione: essi sono realizzati al fine di soddisfare le richieste che vengono inoltrate, innocue o dannose che siano; non rientra dunque nei loro compiti verificarne la natura. Dall’altro lato, vi sono gli sviluppatori web che non creano applicazioni sicure, che possano opportunamente gestire eventuali vulnerabilità ad attacchi di cross-site scripting.
Se un’applicazione web non possedesse tali vulnerabilità, gestendo un opportuno filtraggio dei dati in ingresso, l’attaccante non avrebbe infatti modo di iniettare il proprio codice JavaScript malevolo che, di conseguenza, non avrebbe modo di giungere all’utente finale. In caso contrario, la vittima risulterebbe totalmente disarmata, avendo come unica possibile difesa il browser che, come già detto, non è in grado di offrire tale forma di sicurezza. (continua…)
PPTP, acronimo di Point to Point Tunneling Protocol, è un protocollo di rete che attraverso la cifratura dei dati rende sicure la trasmissione in una rete privata, che utilizza VPN, su una rete pubblica.
Per connettersi ad un server PPTP (per come crearlo riferirsi a questa guida) con Network Manager è molto semplice. Per prima cosa Installiamo network-manager-pptp:
(continua…)
Generalmente si pensa che, durante la navigazione in rete, l’eventuale rete locale interna sia sufficientemente protetta dai firewall e dalla traduzione degli indirizzi privati in indirizzi IP pubblici. In tal modo, si ritiene che le risorse in essa contenute possano essere al sicuro da attacchi esterni, così come le applicazioni web private e le interfacce dei router e degli altri sistemi hardware connessi alla intranet. In realtà ciò non è del tutto vero. (continua…)
Negli esempi trattati negli articoli precedenti si è messo in evidenza come un possibile attaccante possa creare codice Javascript malevolo al fine di portare a termine attacchi come l’accesso ai coockies di sessione o il redirezionamento di una pagina web. In realtà tali esempi costituiscono solo una piccola fetta dell’insieme degli attacchi realizzabili mediante la tecnica del cross-site scripting, nonchè la meno dannosa.
Nelle successive serie di articoli , sul nostro speciale su XSS, verranno trattati altri esempi di attacchi che sottolineano la potenzialità del danno che può produrre un attacco XSS, in presenza di una vulnerabilità in una applicazione web. (continua…)
SSHMenu è un pannello di GNOME che mantiene tutti i vostri collegamenti SSH all’interno di un singolo clic del mouse. Ecco uno screenshot per darvi l’idea di base:
Ad ogni opzione del menu si aprirà una sessione SSH in nuovo terminale. (continua…)
Gli attacchi XSS locali o DOM-based sono anche detti attacchi del terzo tipo e differiscono dai primi due (attacchi XSS non persistenti, attacchi XSS persistenti) poichè, in primo luogo, non richiedono l’invio del
malware al server. I presupposti necessari affinchè tale tipo di attacco vada a buon fine sono differenti rispetto a quelli relativi alle altre tipologie, per cui accade spesso che siti web che si rivelano non vulnerabili ad attacchi XSS classici, lo diventino nel caso di attacchi DOM-based. (continua…)
