-
Continue reading →: DVWA Brute Force [high security level]
Un po’ per gioco, un po’ per esercitarmi ho ripreso in mano un progetto molto utile a chi deve affrontare, a livello di studio e comprensione, il mondo delle vulnerabilità delle applicazioni web. Damn Vulnerable Web Application (DVWA) è una piccola applicazione web scritta in Php che mette a disposizione…
-
Continue reading →: Pivoting: prove in lab
Ci sono molti scenari che varrebbe la pena di provare, in questa sessione, con riferimento alla Twitch Live del 17 giugno, partiamo dalla base di questa tecnica. La struttura del lab base è molto semplice ma ben mette in evidenza l’utilità della tecnica in se. Lo schema mostra, da sinistra…
-
Continue reading →: Pivoting: lab setup
Osservare alcune specifiche tecniche di attacco consente di comprendere meglio quanto possa entrare in profondità un attacker. Uno scenario abbastanza tipico che mi capita di analizzare è relativo alla presenza di reti relativamente “piatte”, ovvero segmentate a livello di subnet/vlan ma talvolta non segregate e lasciate molto libere di comunicare…
-
Continue reading →: Miniserie: Cyber Security Path
Più lo affronto e lo approfondisco e più mi rendo conto di quanto il tema della gestione dei rischi cyber nelle aziende è veramente molto vasto: ci sono moltissimi aspetti da considerare per evitare che qualcosa scappi e non è detto che sia per tutti parimenti alla portata economica. Mentre…
-
Continue reading →: Buffer Overflow lab [II parte]
Nella prima parte ci eravamo fermati all’analisi della memoria subito dopo il crash del nostro servizio a seguito di una nostra specifica azione: abbiamo inviato un contenuto al server composto da una serie di “A” e abbiamo scoperto di poter andare a sovrascrivere il contenuto del registro EIP e anche…
-
Continue reading →: Strategia != tattica
Ho notato che sono concetti su cui non sempre si riflette e, ovviamente, anche nel campo della cyber security è bene considerare come costruire una strategia che consenta ad una organizzazione di migliorare il proprio livello di sicurezza. Nelle ultime sessioni live abbiamo spesso toccato aspetti tattici ed approfondimenti specifici…
-
Continue reading →: Buffer Overflow lab [I parte]
Premessa doverosa: tratto il tema perché mi piace e appassiona molto ma non sono certo un esperto, mi rivolgo quindi a chi come me è affascinato dall’argomento ed ha interesse ad approfondire passando per un esercizio pratico. Durante una sessione live di qualche settimana fa (l’argomento era una simulazione di…
-
Continue reading →: Attack Simulation, preparazione di uno scenario
A seguito di specifici Security Assessment è normale che emergano vulnerabilità anche gravi per le quali, tipicamente, si suggerisce di eseguire un patching del sistema o altre azioni di mitigazione. Purtroppo va considerato che in alcune situazioni in patching non è applicabile, spesso per ragioni non tecniche. Per portare un…
-
Continue reading →: Password policies e resistenza agli attacchi
Un post di riflessione in merito ai corretti (a mio parere) spunti che Paolo Perego propone in questo sui articolo. Non ripeto quello che ha scritto Paolo, leggetelo e valutate voi stessi, il suo post merita. Parto direttamente dalle sue conclusioni: dove sta la debolezza di una passphrase rispetto ad…
Ciao,
sono Rocco
… e questo è mio sito personale dove condivido idee, riflessioni ed esperienze su hacking e sicurezza informatica.
Let’s connect
Rimani aggiornato!
Iscriviti per ricevere gli update dei nuovi post e video.
![Info Sec Unplugged [1e] – Gestione delle configurazioni](https://roccosicilia.com/wp-content/uploads/2024/12/podcast.png?w=541)
Rocco Sicilia 