Il webinar ha avuto come tema “Tecniche di Hacking Web Application” mostrando dal vivo alcune tecniche di Hacking verso le applicazioni web. Ovvero, le modalità utilizzate quotidianamente dal team cyber di Security Lab per effettuare penetration test sui siti web ma allo tesso tempo dalla criminalità informatica per estrapolare dati aziendali o alterare il normale funzionamento dell’applicazione cosi da commettere le più svariate truffe informatiche.
Le vulnerabilità informatiche, poco o molto pericolose, sono presenti su tutti i software web e per questo motivo è importante eseguire con regolarità penetration test sulle applicazioni web per verificarne se queste sono sicure o dove sono presenti errori e vulnerabilità che un hacker può sfruttare per sottrarre dati o informazioni private.
Per questo motivo è stato introdotto uno dei software considerati come uno strumento standard del settore utilizzato dai professionisti della sicurezza informatica per eseguire Web Penetration Test, il cosiddetto Burpsuite, definito anche Web Proxy orientato alla security.
Dopo una breve e basilare spiegazione delle sue funzionalità principali e del suo utilizzo per permettere ai partecipanti di prendere familiarità col software, è stata presentata la piattaforma Juice Shop, sviluppata dalla riconosciuta organizzazione OWASP, che simula un e-commerce appositamente vulnerabile contenente una serie di funzioni e azioni che si trovano in un contesto reale degli odierni siti web.
Il webinar ha proseguito con il suo punto forte dato dalla live demo in cui sono state prima spiegate alcune vulnerabilità presenti nella piattaforma Juice Shop per poi procedere allo sfruttamento, in gergo exploit, di queste. In dettaglio, la live demo ha mostrato come attaccare i JSON Web Token, ossia una tecnologia che permette di autenticare un utente su un’applicazione web ma che se implementata in maniera non adeguata consente ad un hacker di manipolare questo token al fine di impersonare un altro utente ottenendo eventuali informazioni private.In seguito è stata spiegato un caso particolare di Broken Access Control in cui un attaccante è in grado di visualizzare il carrello della spesa di altri utenti. Infine, nella terza vulnerabilità, definita come Improper Input Validation, un attaccante aveva la possibilità di registrare sulla piattaforma un utente con privilegi amministrativi, evidenziando un impatto fatale per la sicurezza del sito.
Prima di concludere l’evento, è stato annunciato il nuovo corso di Tecniche di Web Application Hacking appositamente creato dal team cyber di Security Lab e inteso per sviluppatori web, sistemisti e appassionati di security che hanno poca o nessuna esperienza in questo campo però desiderosi di addentrarsi in questo mondo.
Argomenti trattati
