Cosa succede se un’applicazione web usa i certificati SSL lato client oltre ai certificati lato server? È ancora possibile manipolare le variabili dell’applicazione Web? Sfortunatamente, le variabili delle applicazioni Web possono ancora essere manipol …
Cosa succede se un’applicazione web usa i certificati SSL lato client oltre ai certificati lato server? È ancora possibile manipolare le variabili dell’applicazione Web?
Sfortunatamente, le variabili delle applicazioni Web possono ancora essere manipolate anche quando sia il client sia il server usano il certificato di autenticazione per stabilire una connessione SSL.
Per manipolare le variabili dell’applicazione Web, un hacker usa un proxy tool Http. Al fine di modificare la configurazione proxy del browser del client per passare attraverso il proxy Http, tutte le richieste e le risposte Http e Https possono essere incanalate attraverso il proxy prima di essere indirizzate verso il server. Questo consente all’hacker di avere una finestra per vedere e cambiare i dati che transitano durante una sessione di browsing, compresa ogni variabile passata dall’applicazione sotto forma di cookie, form nascosti e di Url. La principale minaccia proveniente dai tool proxy è che permettono a chi effettua un attacco di vedere e di pubblicare le informazioni trasmesse da un client a un server.
Va però precisato che non tutti i tool proxy possono gestire le sessioni SSL quando il client e il server usano i certificati, perché non possono memorizzare il certificato del client per l’handshaking o il logon. Tuttavia, se importano il certificato richiesto prima di un handshaking o di un logon, il Paros Proxy può intercettare e modificare i dati Https, persino quando le applicazioni richiedono un certificato client.. Sebbene il client e il server possano essere sicuri, gli hacker hanno la capacità di modificare qualsiasi parte delle richieste e delle risposte prima che siano inoltrate.
Paros, il tool per valutare la sicurezza delle applicazioni Web
Paros
è un programma molto potente che può essere usato per valutare la sicurezza
delle applicazioni Web. Si scarica gratuitamente ed è completamente scritto in
Java. Dispone di diversi tool incluso un registratore, che tiene traccia di
tutte le richieste Http e delle risposte. Questa funzionalità permette allo
sviluppatore o all’hacker di rivedere tutte le azioni, le pagine e le variabili.
Paros include inoltre una scansione automatica di rilevazione della
vulnerabilità per gli alcuni attacchi alle più comuni applicazioni Web, inclusi
l’iniezione SQL e lo scrpiting cross-site. Paros controlla anche i contenuti Web
non sicuri, come i controlli Active X non firmati e gli exploit del browser
mandati dal web serve target. Per ulteriori informazioni potete visitare il sito
web http://www.parosproxy.org.
- Il virus si studia in community
- 200.000 minacce nel database di McAfee
- Capire il phishing
- Capire le policy
- Senza crittografia niente informazioni confidenziali
- Firma digitale e risposte criptate: come si validano i campi?
- Lo spam è cambiato. Come adeguarsi
- Training formativo sulla sicurezza: istruire i dipendenti sugli spyware
- Crittografia e wiping
- Spyware, come funzionano e come eliminarli