Man in the Browser: il libro
Man in the Browser è il primo libro di Sicurezza Informatica completamente dedicato a questo attacco, sia dal punto di vista informatico che giuridico
Libro MitB
Categoria: Sicurezza Informatica
Man in the Browser è il primo libro di Sicurezza Informatica completamente dedicato a questo attacco, sia dal punto di vista informatico che giuridico
Libro MitB
Categoria: Sicurezza Informatica
Vai all'articolo
Categoria: Sicurezza Informatica
Vai all'articolo
Categoria: Sicurezza Informatica
Il Session Hijacking è un attacco che permette ad un aggressore di accedere alle aree riservate delle applicazioni Web senza neppure effettuare la login, sfruttando la sessione validata per un altro utente.
Vai all'articolo
Categoria: Sicurezza Informatica
SIM Swap (conosciuto anche come SIM Swapping, SIM Swap Scam o SIM Splitting) è una tecnica di attacco che consente di aggredire le Applicazioni Web che usano l'SMS o la telefonata come secondo fattore di autenticazione o di verifica dell'operatività.
Vai all'articolo
Categoria: Sicurezza Informatica
SQL Injection è una tecnica di attacco che permette ad un malintenzionato di aggredire, partendo dal frontend, un database relazionale interrogabile via SQL. Per consentire questa aggressione, è necessario che:...
Vai all'articolo
Categoria: Sicurezza Informatica
JWT è uno standard Web per trasmettere dati in un leggero formato testuale. Questi dati possono essere firmati con una Firma Digitale sfruttando lo standard JWS (per ottenere appunto un JWT firmato) oppure crittografati, usando lo standard JWE e ottenere così un JWT crittografato.
Vai all'articolo
Categoria: oAuth 2
Cyber Security per Applicazioni Web è un libro di Sicurezza Informatica applicativa dedicato a proteggere lo strato di frontend e il layer di integrazione con API REST
Libro Sicurezza Informatica
Categoria: Sicurezza Informatica
La Sicurezza delle Applicazioni Web è una branchia della Sicurezza Informatica. Con il crescere di Internet e del Web in particolare, la sua importanza ha avuto un enorme accelerazione, diventando in assoluto la branchia più importante di tutta la Sicurezza Informatica.
Vai all'articolo
Categoria: Sicurezza Informatica
Un ransomware è un malware informatico che rende inaccessibili i dati del dispositivo infettato richiedendo poi un riscatto (ransom in inglese) per il recupero dei file. Si sono diffusi talmente tanto in poco tempo che, i più pericolosi tra questi sono stati subito catalogati con una nuova terminologia che li definisce cryptovirus.
Vai all'articolo
Categoria: Virus
Il phishing, conosciuto anche come phishing informatico, è una truffa via email (ma poi diffusasi anche via SMS e telefono) per ottenere le credenziali di accesso ad uno o più siti Web a cui la vittima ha accesso. ...
Vai all'articolo
Categoria: Autenticazione Autorizzazione
Con crittografia si intende l'applicazione di un processo che permetta di rendere offuscato un messaggio per chiunque non abbia la chiave per decifrarlo. È una tecnica molto antica, che è nata con la semplice sostituzione di ogni carattere con uno ed uno solo corrispondente. Conoscendo ogni corrispondenza è possibile ricostruire il messaggio originale. ...
Vai all'articolo
Categoria: Crittografia
Dopo aver visto l'articolo su Cosa sono i cookie, vediamo di capire a cosa servono i cookie. Abbiamo detto nell'articolo appena citato, che la definizione più appropriata potrebbe essere. ...
Vai all'articolo
Categoria: Privacy
CAPTCHA è un acronimo inglese che identifica un test realizzato appositamente per capire se il client collegato all'applicazione viene utilizzato da un utente reale (una persona) oppure è un software. ...
Vai all'articolo
Categoria: Sicurezza Informatica
In questo articolo sfateremo molti miti a proposito di cosa sono i cookie, quindi allacciatevi le cinture perché ci sarà qualche scossone nelle vostre conoscenze! Soprattutto se avete già un'idea di cosa siano... se invece siete a digiuno di informazioni, meglio ancora. Iniziamo a evitare gli errori che molti credono siano invece verità. ...
Vai all'articolo
Categoria: Privacy
Con Data Breach si intende una violazione di sicurezza in cui dati sensibili, protetti o confidenziali sono copiati, trasmessi, visualizzati, rubati o usati da personale non autorizzato a farlo. ...
Vai all'articolo
Categoria: Privacy
Il 7 Marzo del 2020 è stata pubblicata la bozza di standard per la nuova versione del framework autorizzativo OAuth 2. La nuova versione è stata contraddistinta dal numero 2.1 e quindi benvenuto OAuth 2.1. ...
Vai all'articolo
Categoria: oAuth 2
Nell'articolo Cos'è oAuth 2? abbiamo familiarizzato con questo framework autorizzativo e abbiamo imparato cos'è oAuth 2. Adesso è arrivato il momento di scendere un pochino più nel dettaglio e capire come funziona oAuth 2. ...
Vai all'articolo
Categoria: oAuth 2
oAuth 2 è un framework autorizzativo standard per applicazioni Web. Prima di tutto, vediamo cosa significa questa definizione, parola per parola. ...
Vai all'articolo
Categoria: oAuth 2
Man in the browser è una forma di attacco che aggredisce il client della vittima per intercettare (sniffing) e modificare (tampering) il traffico ricevuto e spedito, da e verso il server. Fa parte della famiglia di attacchi Man in the middle. L'attacco non viene portato direttamente all'applicazione Web, ma al sistema operativo e al browser utilizzati dall'utente. ...
Vai all'articolo
Categoria: Man in the middle
oAuth 2 è uno standard ampiamente utilizzato per il processo autorizzativo di un utente o di un'applicazione. Viene implementato anche per fare autenticazione attraverso Open ID Connect o con altre soluzioni più artigianali. oAuth 2 prevede diversi Grant Type per realizzare l'autorizzazione dell'utente o dell'applicazione. ...
Vai all'articolo
Categoria: oAuth 2
Le API sono un meraviglioso strumento per la diffusione di informazioni tra applicazioni diverse e addirittura tra sistemi informativi eterogenei. Che siano Web Services SOAP o API REST poco importa, per un attaccante sono semplicemente un mezzo per ottenere un fine: informazioni riservate, dati sensibili o asset finanziari. ...
Vai all'articolo
Categoria: Sicurezza API
Il frontend di un'applicazione Web è per sua natura esposta a possibili attacchi. È infatti completamente residente sul client ed è spesso aggredita per fare da vettore ad attacchi di varia natura: su tutti il Code Injection. All'interno del libro Cyber Security per Applicazioni Web, gli attacchi sul frontend sono ampiamente trattati e rappresentano l'argomento maggiormente presente all'interno del testo. ...
Vai all'articolo
Categoria: Code Injection
Con Credential Stuffing si intende una tecnica di attacco che sfrutta credenziali rubate per ottenere i privilegi di accesso su vari siti, indipendentemente dal fatto che i siti su cui i malintenzionati stanno provando ad effettuare la login, siano o meno stati oggetto di attacchi. ...
Vai all'articolo
Categoria: Autenticazione Autorizzazione
Siamo ormai abituati a sentire nominare la crittografia o a sentire utilizzare parole come encryption, criptato, ecc. Forse per chi è meno addentro alle tematiche di sicurezza, la parola hash può significare poco. ...
Vai all'articolo
Categoria: Crittografia