Date post: | 04-Jun-2015 |
Category: |
Technology |
Upload: | girl-geek-dinners-nordest |
View: | 781 times |
Download: | 0 times |
Basta hacker in TV! [email protected]
$whois -=mayhem=-
Committed: AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza InformaticaItalian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
2
!
Security Evangelist @
Basta hacker in TV! [email protected]
Non credere a tutto quel che vedi in televisione...
Mia nonna diceva...
3
Basta hacker in TV! [email protected]
Visualroute?
Chi di voi lo usa per determinare la sorgente di un attacco?
14
Basta hacker in TV! [email protected]
SQL Injection
Video su SQL Injection
31
Video su SQL Injection
Basta hacker in TV! [email protected]
Altri rischi?
Posso interrogare il DB e ottenere tutti i dati contenuti:
' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x
32
Basta hacker in TV! [email protected]
Come mi proteggo?
Evito di processare i caratteri speciali come ‘
Prevedo il processo che si chiama “normalizzare l’input”
34
Basta hacker in TV! [email protected]
Esempio
$user=mysql_escape_string($_POST['user']);$password=mysql_escape_string($_POST['password']);
$query="SELECT * FROM Users WHERE username='$user' AND password='$password';
35
Basta hacker in TV! [email protected]
Cosa dobbiamo affrontare?
Rischi
reali, concretisemplici da trasformare in incidenti
alta probabilità di conversione in incidentgrande impatto sul business
40
Basta hacker in TV! [email protected]
Cosa fare?
Rischi
facili da preveniredifficili da mitigare a posteriori
41
Basta hacker in TV! [email protected]
Security by Design
Se costruisco una casasenza progettare
uscite di sicurezzacostruirle a lavori finiti
sarà disastroso
42
Alessio L.R. [email protected]: mayhemsppFaceBook/linkedin: alessio.pennasilico
Domande?
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Grazie per l’attenzione!