Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting

Documenti analoghi
Guida di Installazione GCC

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Bollettino VA-IT A

Early Warning. Bollettino VA-IT A

MS WORD 2000 ULTIMA VULNERABILITA SCOPERTA

TeamPortal. Infrastruttura

Ma il software open source è sicuro?

Linee guida per lo sviluppo di applicazioni web

Venerdì 16 Marzo 2007 Primi passi fra testo e finestre

MODULO 02. Iniziamo a usare il computer

Virtual Desktop, installazione ed uso

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

DonkeyCode. Manuale amministratore di sistema. Versione 1.0.0

LINUX AMBIENTE DESKTOP

deftcon 2012 Maxi aula 1 - Palazzo di Giustizia di Torino

L i n u B e s t a Mario Di Raimondo

BOLLETTINO DI SICUREZZA INFORMATICA

Content Security Spam e nuove minacce

TeamPortal. Servizi integrati con ambienti Gestionali

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. voidsec@voidsec.com

AMBIENTE DI TEST LIKEWISE

Corso ForTIC C2 LEZIONE n. 1

GNUraghe. Desktop Virtualization +VirtualBox+...quando un solo pc non basta più... IL LUG DI ORISTANO. Virtualizzazione dei sistemi con VirtualBox


Guida ai collegamenti

Installazione & Configurazione Php e MySQL su Mac Os X. Php

CORSO AVANZATO DI GESTIONE SITI WEB

ORSA MAGGIORE VALLARSA WEB VERSIONE PRELIMINARE!!!!

Bollettino VA-IT A

Tiesse Software Upgrade NOS. Pubblicazione a cura di: Tiesse s.p.a. via Asti, Area Industriale S. Bernardo Ivrea (TO) Italy

KLEIS WEB APPLICATION FIREWALL

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

filrbox Guida all uso dell applicazione DESKTOP Pag. 1 di 27

Le Interfacce Grafiche

Guida alla installazione di R

IP Camera senza fili/cablata Guida d installazione rapida (Per Windows OS)

Meetecho s.r.l. Web Conferencing and Collaboration tools. Guida all installazione e all uso di Meetecho beta

TIMESHARK: Uno strumento per la visualizzazione e l analisi delle supertimelines. Relatore: Federico Grattirio

ELAD FDM-S1. Manuale Installazione Componenti Per Linux

Early Warning Bollettino VA-IT B

Archiviazione digitale per SAP con DocuWare

Doctor Web: rassegna delle attività di virus a febbraio marzo 2013

Bollettino VA-IT A

Proposta UNIF Progetto: Portale delle fonti di energia rinnovabile. Obiettivi

Corso base di introduzione all'utilizzo del computer LINUX DA ZERO

Come funziona il WWW. Architettura client-server. Web: client-server. Il protocollo

Sommario. 1. Cos è SecureDrive Caratteristiche Privacy dei dati: SecureVault... 4

Introduzione a phpmyadmin

LaCie Ethernet Disk mini Domande frequenti (FAQ)

Corso di Informatica di Base. Laboratorio 2

Caratteristiche di una LAN

Fondamenti di Informatica 1. Prof. B.Buttarazzi A.A. 2010/2011

Intel One Boot Flash Update Utility Guida dell utente

Il software impiegato su un computer si distingue in: Sistema Operativo Compilatori per produrre programmi

Specifiche tecniche e funzionali del Sistema Orchestra

Corso di PHP. Prerequisiti. 1 - Introduzione

Informatica. Prof. A. Longheu. Introduzione a Java

INSTALLARE PALLADIO USB DATA CABLE IN WINDOWS XP/ME/2000/98

LBSEC.

per la sicurezza della vostra azienda Be ready for what s next! Kaspersky Open Space Security

Indice. Indice Premessa e scopo del documento Ambiente operativo Architettura di sistema... 5

INFORMATIVA SULLA PRIVACY DEL SITO WEB THERMOPLAY TEAM

Sviluppo di applicazioni mobili su piattaforma Maemo

C-Light Web-based Management Software

Sicurezza informatica in ambito aziendale

Macchine Virtuali. Docente: Fabio Tordini

Per ulteriori informazioni sul software interessato, vedere la sezione successiva, Software interessato e percorsi per il download.

LA FORZA DELLA SEMPLICITÀ. Business Suite

PROGRAMMA COMPLETO DI INFORMATIZZAZIONE. Partire da Zero. Usare il PC

PROGRAMMA CORSO SISTEMISTA INFORMATICO

Linguaggi dinamici. Giacomo Cabri Mauro Andreolini

Il CMS Moka. Giovanni Ciardi Regione Emilia Romagna

Corso di Informatica

VIRTUALIZZAZIONE. Docente: Marco Sechi Modulo 1

InfoCertLog. Scheda Prodotto

CARONTE C O N S U L T I N G

KLEIS ANTI-PHISHING. Presentazione.

PAWAS. Gestione sicurezza applicativa

Istruzioni installazione mandato Informatico

IL DVD delle RIM. Agenda. il logo. root del DVD. web GUI. le guide alle RIM. gli aggiornamenti. documentazione

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

GUIDA RAPIDA CONFIGURAZIONE RETE DDNS - INTERNET

SCELTA DEL TEST DA ESEGUIRE

Sistema Operativo Chrome: Analisi degli aspetti peculiari.

Joomla: Come installarlo e come usarlo. A cura di

MagiCum S.r.l. Progetto Inno-School

SARA. Software per scansioni

Dipartimento Politiche Sociali e della Salute OSSERVATORIO SOCIALE SULLA CONCERTAZIONE TERRITORIALE. Manuale del software Utente Lettore Vers. 4.

CONFIGURATION MANUAL

Aggiornamento dispositivo di firma digitale

Come valutare e scegliere un Sistema Operativo Embedded

2G, l evoluzione della piattaforma Team nel Web 2.0 Roma, 7 dicembre Andrea Carnevali R&D Director GESINF S.r.l.

1 Registrazione e Download

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

Benchmarking. Modulo del Corso di Architettura degli Elaboratori. Nicola Paoletti. Università di Camerino Scuola di Scienze e Tecnologie

Servizio di accesso remoto con SSL VPN

Installazione del software Fiery per Windows e Macintosh

Applicazioni di Ubuntu

Transcript:

Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Relatori: Emanuele Gentili Alessandro Scoscia Emanuele Acri

PHISHING: l eterna lotta tra Sviluppatori Software e Natura Umana

Tipologie di attacco Phishing PHISHING 1.0 A. E-MAIL B. XSS on site C. Website Clone PHISHING 2.0 DNS CACHE POISONING PHISHING 3.0

Da XSS a CAS Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input. Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo si potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina. Il Cross-Application scripting (CAS) è una vulnerabilità che affligge applicazioni desktop che impiegano un insufficiente controllo dell'input. Un CAS permette ad un attaccante di inserire codice al fine di modificare il contenuto di una applicazione desktop utilizzata. In questo modo si potranno sottrarre dati sensibili presenti nel sistema degli utenti. Gli attacchi alle vulnerabilità CAS hanno effetti dirompenti perche possono implicare la completa compromissione dei target indipendentemente da sistemi operativi e piattaforme.

Differenze sostanziali XSS CAS attacco ad applicazioni web si no attacco a applicazioni no si Sistemi Operativi no si Remote Command Execution no si

Tecnologie analizzate Frameworks grafici GTK QT Desktop Environment MICROSOFT WINDOWS Apple OS X KDE (KIO) GNOME

Architetture e Sistemi analizzati - Microsoft Windows

Architetture e Sistemi analizzati - Apple OS X

Architetture e Sistemi analizzati - KDE

Responsible Disclosure

Vettori potenziali di attacco

Metodi Anti Phishing per attacchi CAS

Previsione di impatto in prima indagine Microsoft Windows KDE OS X Symbian 100 75 50 25 Criticità in Ambiente Core Applicazioni aggiuntive 0

Pericolosità in attacchi COMBO Cross Application Scripting Modifica interfaccia applicativa Redirezione utenti a sito web malevolo da applicazione con alterazione GUI. Esecuzione Comandi Possibilità di far eseguire alla vittima comandi nel sistema utilizzato Attacchi dipendenti ESCLUSIVAMENTE dalle applicazioni

Pillole Tecniche: SKYPE # Title: Skype for Linux (<=2.1 Beta) multiple strange behavior # Author: Emanuele Gentili (Emgent), Emanuele Acri (Crossbower) # Contacts: emgent@backtrack.it, crossbower@backtrack.it # Published: 2010-01-04 # Software Link: http://www.skype.com/intl/it/download/skype/linux/ # Version: <=2.1 Beta (the latest version) # Tested on: Ubuntu 8.10, Debian 6.0 Testing # Special greetz: Backtrack-Italy Community - Phishing proof of concept: If you type this string in your profile (Homepage field), 'www.google.com' will be displayed, but the link points to -> http://backtrack.it: backtrack.it">www.google.it<script> http://www.exploit-db.com/exploits/10980

Pillole Tecniche: Google Earth (I)

Pillole Tecniche: Google Earth (II)

Pillole Tecniche: Akregator apt:antivir-pro'. </b> <span />... <span /> <span /> <span /> <span /> <span /> <span /> <span /> <span /> This can be a potential security weakness. The program will now install the missing packages. Please wait for the installation of <b>'antivir pro,netcat

KDE OWNAGE VIA CROSS APPLICATION SCRIPTING http://www.backtrack.it/~emgent/videos/16032010_-_securitysummit_cas_owning_kde.mov

Nuove Frontiere (I) QT Script Module

Nuove Frontiere (II) Applicativi Mobile

Ringraziamenti Marco Rondini Simone Quatrini CLUSIT Mauro Gasperini Francesco Morucci Associazione Informatici Professionisti

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back