Connect with us

Articoli

Assalto ai siti Web con Vega!

Massimiliano Zagaglia

Published

on

Scovare vulnerabilità con Vega

Con Vega fai le pulci ai siti Web mettendone a nudo tutte le potenziali vulnerabilità 😉

Sempre più aziende si affidano alle Web App perché consentono ai dipendenti di accedere ai dati critici da qualsiasi luogo in qualsiasi momento. In questo modo, infatti, hanno la possibilità di collaborare con i partner aziendali e di essere più produttivi. Peccato però che le applicazioni Web incentrate sull’attività aziendale tendano a essere soggette a vulnerabilità che possono essere rilevate automaticamente dai criminali informatici e facilmente sfruttate: statistiche e rapporti di fonti attendibili mostrano una costante tendenza al rialzo in attacchi di hacking di successo.

Il 2018 sarà disastroso

Il 2017, per quel che riguarda la sicurezza informatica, è stato un anno pessimo, dal quale però dobbiamo imparare per prepararci a un 2018 che secondo le previsioni dei principali analisti potrebbe essere persino peggiore. Che si tratti dei russi di Kaspersky, dei britannici di Sophos o degli statunitensi di Forrester Research, il succo non cambia: nei prossimi mesi dovremmo farci trovare pronti, onde evitare una sorta di apocalisse informatica. Come già visto nel corso del 2017, gli hacker e gruppi di cybercriminali si stanno specializzando per differenziare il più possibile “l’arsenale” di armi cibernetiche a loro disposizione. Se sino a qualche anno fa le varie tipologie di malware rappresentavano la minaccia principale da cui difendersi, oggi virus, trojan e altri software malevoli altro non sono che un mezzo per raggiungere altri scopi o aprire la strada a minacce più pericolose.

A questo si deve aggiungere la capacità, sempre più raffinata, di sfruttare falle 0-day e vulnerabilità varie presenti all’interno dei software più diffusi e utilizzarle per penetrare all’interno di singoli computer o reti informatiche aziendali. è molto probabile, infatti, che gli hacker alzeranno sempre di più il tiro, mettendo al centro del mirino organizzazioni aziendali o governative, con l’obiettivo di trafugare dati sensibili e ricattarle in qualunque modo sia possibile.
Resistere all’attacco di un hacker motivato è una delle responsabilità più importanti per un amministratore di sistema, specialmente per i siti Web che devono mantenere informazioni sensibili sui clienti e hanno un elevato numero di utenti. In questo scenario, è dunque fondamentale, per un sysadmin, adottare misure proattive per correggere le vulnerabilità dei propri siti Web. Per prevenire questa minaccia si può ricorrere a uno strumento definito di Web-auditing.

Vega, l’amico del pentester

Vega Vulnerability Scanner è una piattaforma di test, gratuita e Open Source, per testare la sicurezza delle applicazioni Web, sviluppata dalla società di sicurezza Subgraph. È scritta in Java, si basa su una pratica GUI e funziona su Linux, OS X e Windows. Vega include uno scanner automatico per test rapidi e un proxy di intercettazione per l’ispezione tattica. Questo scanner è in grado di trovare XSS (cross-site scripting), SQL injection e altre vulnerabilità di vario genere. Vega può essere esteso utilizzando una potente API in JavaScript; tutte funzionalità interessanti, ma, per questo articolo, ci concentreremo sull’aspetto dei test di sicurezza automatizzati che possono aiutarci a trovare e convalidare SQL Injection, Cross-Site Scripting (XSS), informazioni sensibili divulgate inavvertitamente e molte altre vulnerabilità.

Se vuoi imparare a usare le tante funzionalità di Vega non perdere in edicola oppure online Hacker Journal 221!

Ti potrebbe interessare

Email spoofing, così ci rubano l’account! Chiunque possegga un indirizzo email si sarà visto recapitare almeno una volta strani messaggi di posta il cui mittente, in apparenza legittimo, risul...
Una scienza tutta da rivedere 01001100 01100001 00100000 01100011 01110010 01101001 01110100 01110100 01101111 01100111 01110010 01100001 01100110 01101001 01100001 0010000...
La TV è il tuo nemico I televisori di nuova generazione possono trasformarsi in un Grande Fratello a nostra insaputa e non serve scomodare la CIA per farlo... Hai acquista...
Sotto mentite spoglie Per coprire le proprie attività di controllo, la Central Intelligence Agency ha assunto una clamorosa falsa identità, quella di Eugene Kaspersky! L...

Appassionato di informatica, GNU/Linux, Open Source e sicurezza da tempo immane, di solito passo il tempo libero tra una Raspberry Pi, una distro e un report di security.

Facebook Comment


In Edicola


Dal 10 AGOSTO 2018!

Forum

Facebook

Collezione HJ

Trending

IN EDICOLA