Blog

Molti, e a mi avvisto troppi, sottovalutano la sicurezza delle appliazioni limitandosi, nella migliore delle ipotesi, a fare mensilmente il paching di sistema operativo.

Per chi è sicuro che con il patch day di Microsoft sia tutto apposto ecco un elenco  di attacchi alle applicazioni web....   

Consiglio: aggiornate la versione dell'application server alla ultima disponibile con l'ultimo fix di sicurezza, e poi richiedete un web application test. 

dimenticavo... sarebbe bello che qualcuno si occupasse anche si source code analysis..... ma forse è ancora troppo presto per parlarne

Web Application Attacks List :

Arbitrary file access
Binary planting
Blind SQL Injection
Blind XPath Injection
Brute force attack
Buffer overflow attack
Cache Poisoning
Cash Overflow
Clickjacking
Command injection attacks
Comment Injection Attack
Content Security Policy
Content Spoofing
Credential stuffing
Cross Frame Scripting
Cross Site History Manipulation (XSHM)
Cross Site Tracing
Cross-Site Request Forgery (CSRF)
Cross Site Port Attack (XSPA)
Cross-Site Scripting (XSS)
Cross-User Defacement
Custom Special Character Injection
Denial of Service
Direct Dynamic Code Evaluation (‘Eval Injection’)
Execution After Redirect (EAR)
Exploitation of CORS
Forced browsing
Form action hijacking
Format string attack
Full Path Disclosure
Function Injection
Host Header injection
HTTP Response Splitting
HTTP verb tampering
HTML injection
LDAP injection
Log Injection
Man-in-the-browser attack
Man-in-the-middle attack
Mobile code: invoking untrusted mobile code
Mobile code: non-final public field
Mobile code: object hijack
One-Click Attack
Parameter Delimiter
Page takeover
Path Traversal
Reflected DOM Injection
Regular expression Denial of Service – ReDoS
Repudiation Attack
Resource Injection
Server-Side Includes (SSI) Injection
Session fixation
Session hijacking attack
Session Prediction
Setting Manipulation
Special Element Injection
SMTP injection
SQL Injection
SSI injection
Traffic flood
Web Parameter Tampering
XPATH Injection
XSRF or SSRF

Dipendente InfedeleIn crescita i reati sul lavoro di dipendenti/dirigenti/amministratori, dai più tradizionali furbetti del cartellino, ai dipendenti infedeli, ai certificati medici taroccati, fino ad arrivare ai reati informatici condotti in azienda: furto,trafugamento,alerazione di dati aziendali impiegando computer e dispositivi mobili aziendali.  a queste si aggiungono le frodi elettroniche, secondo lo studio Axerta, 4 aziende su 10 subiscono frodi informatiche :

“Gli illeciti dei dipendenti – spiega Vincenzo Francese, amministratore unico – sono più frequenti di quanto si possa immaginare. E causano perdite ingentissime. Per correre ai ripari, le company commissionano analisi che possono andare dalla ricerca di prove su danni e ammanchi a quelle sulla vita della singola persona pre-assunzione. In particolar modo, quando si va a caccia di candidati per posizioni delicate o prima di firmare accordi con determinate aziende. Nel 90% dei casi, le frodi portano all’ individuazione del responsabile. E le sanzioni che si rischiano sono sia aziendali che penali”.

Dalla ricerca Axerta risulta che i reati più temuti troviamo le frodi sugli acquisti, furti e atti vandalici, lo spionaggio industriale.

Con l'avvento del GDPR l'attenzione su queste tematiche sarà ancora più alta, ma le aziende avranno normativamente più strumenti per monitorare
la sicurezza dei propri dati e del proprio business. Sempre più spesso ci vengono richiesti vulnerability assessment e audit forensi a campione sui dispositivi aziendali, computer, tablet, file server etc..
sono segno tangibile di una sensibilità nuova e orientata alla salvaguardia del business.

fonte: http://nuvola.corriere.it/2017/11/30/illeciti-e-frodi-sul-lavoro-sono-in-crescita/?refresh_ce-cp

 

Ho ritrovato sul sito di Radio Radicale la registrazione della mia deposizione del 2013 , nel processo per la sanitopoli abruzzese relativa alla perizia fatta per l'onorevole Aracu sui suoi cellulari con l'assistenza delll'avvocato dello studio Buongiorno di Roma.

Un'esperienza interessante e importante sotto diversi profili, per chi è interessato questo è il link https://www.radioradicale.it/scheda/376428/processo-per-la-sanitopoli-abruzzese-imputato-ottaviano-del-turco?i=359260