Seminario a cura dell'OWASP Italy Chapter

16:30 - 18:00

Location : Sala Zaffiro

Login

17 Marzo 2015
16:30-18:00 – Sala Zaffiro – Seminario a cura dell'OWASP Italy Chapter

Sono previsti tre interventi:

Il 1° a cura di Egidio Romano
Con PHP Object Injection ci si riferisce ad una classe di vulnerabilità che può affliggere quelle applicazioni PHP che utilizzano la funzione "unserialize" in modo insicuro. Attraverso questo genere di vulnerabilità un potenziale attaccante potrebbe essere in grado di "iniettare" uno o più oggetti all'interno dello scope dell'applicazione.
Gli attributi di tali oggetti possono essere modificati arbitrariamente dall'attaccante, e ciò potrebbe causare un comportamento inaspettato del flusso di esecuzione dell'applicazione, che potrebbe consentire all'attaccante di eseguire diverse tipologie di attacchi, o nei casi più gravi di eseguire codice PHP arbitrario.

Il 2° a cura di Marco Balduzzi
In questo intervento presenteremo una nuova tecnica di cybersquatting da noi battezzata soundsquatting. Il soundsquatting consiste nell'utilizzare un set di parole omofone, ovvero di differente origine ma ugual suono, per dirottare inavvertitamente un utente verso un sito diverso da quello desiderato, normalmente gestito dall'attaccante e malizioso. Un esempio è dato da whether (se) e weather (meteo).
Utilizzando un tool da noi sviluppato, mostreremo in che modo il soundsquatting viene attualmente utilizzato per fini illeciti tra cui advertisting, scamming, phising e malvertising.

Il 3° a cura di Matteo Meucci
"La nuova OWASP Testing Guide v4, come non usarla per testare le applicazioni web!"
Presentazione della nuova Testing Guide v4. Quali sono le novità e casi di studio sulla corretta adozione dello standard.

Speakers