Conviene usare i certificati Ssl anche lato client?

Cosa succede se un’applicazione web usa i certificati SSL lato client oltre ai certificati lato server? È ancora possibile manipolare le variabili dell’applicazione Web? Sfortunatamente, le variabili delle applicazioni Web possono ancora essere manipol …

Cosa succede se un’applicazione web usa i certificati SSL lato client oltre ai certificati lato server? È ancora possibile manipolare le variabili dell’applicazione Web?

Sfortunatamente, le variabili delle applicazioni Web possono ancora essere manipolate anche quando sia il client sia il server usano il certificato di autenticazione per stabilire una connessione SSL.
Per manipolare le variabili dell’applicazione Web, un hacker usa un proxy tool Http. Al fine di modificare la configurazione proxy del browser del client per passare attraverso il proxy Http, tutte le richieste e le risposte Http e Https possono essere incanalate attraverso il proxy prima di essere indirizzate verso il server. Questo consente all’hacker di avere una finestra per vedere e cambiare i dati che transitano durante una sessione di browsing, compresa ogni variabile passata dall’applicazione sotto forma di cookie, form nascosti e di Url. La principale minaccia proveniente dai tool proxy è che permettono a chi effettua un attacco di vedere e di pubblicare le informazioni trasmesse da un client a un server.

Va però precisato che non tutti i tool proxy possono gestire le sessioni SSL quando il client e il server usano i certificati, perché non possono memorizzare il certificato del client per l’handshaking o il logon. Tuttavia, se importano il certificato richiesto prima di un handshaking o di un logon, il Paros Proxy può intercettare e modificare i dati Https, persino quando le applicazioni richiedono un certificato client.. Sebbene il client e il server possano essere sicuri, gli hacker hanno la capacità di modificare qualsiasi parte delle richieste e delle risposte prima che siano inoltrate.

Paros, il tool per valutare la sicurezza delle applicazioni Web

Paros
è un programma molto potente che può essere usato per valutare la sicurezza
delle applicazioni Web. Si scarica gratuitamente ed è completamente scritto in
Java. Dispone di diversi tool incluso un registratore, che tiene traccia di
tutte le richieste Http e delle risposte. Questa funzionalità permette allo
sviluppatore o all’hacker di rivedere tutte le azioni, le pagine e le variabili.
Paros include inoltre una scansione automatica di rilevazione della
vulnerabilità per gli alcuni attacchi alle più comuni applicazioni Web, inclusi
l’iniezione SQL e lo scrpiting cross-site. Paros controlla anche i contenuti Web
non sicuri, come i controlli Active X non firmati e gli exploit del browser
mandati dal web serve target. Per ulteriori informazioni potete visitare il sito
web http://www.parosproxy.org.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome