Assalto ai siti Web con Vega!

Con Vega fai le pulci ai siti Web mettendone a nudo tutte le potenziali vulnerabilità 😉

Sempre più aziende si affidano alle Web App perché consentono ai dipendenti di accedere ai dati critici da qualsiasi luogo in qualsiasi momento. In questo modo, infatti, hanno la possibilità di collaborare con i partner aziendali e di essere più produttivi. Peccato però che le applicazioni Web incentrate sull’attività aziendale tendano a essere soggette a vulnerabilità che possono essere rilevate automaticamente dai criminali informatici e facilmente sfruttate: statistiche e rapporti di fonti attendibili mostrano una costante tendenza al rialzo in attacchi di hacking di successo.

Il 2018 sarà disastroso

Il 2017, per quel che riguarda la sicurezza informatica, è stato un anno pessimo, dal quale però dobbiamo imparare per prepararci a un 2018 che secondo le previsioni dei principali analisti potrebbe essere persino peggiore. Che si tratti dei russi di Kaspersky, dei britannici di Sophos o degli statunitensi di Forrester Research, il succo non cambia: nei prossimi mesi dovremmo farci trovare pronti, onde evitare una sorta di apocalisse informatica. Come già visto nel corso del 2017, gli hacker e gruppi di cybercriminali si stanno specializzando per differenziare il più possibile “l’arsenale” di armi cibernetiche a loro disposizione. Se sino a qualche anno fa le varie tipologie di malware rappresentavano la minaccia principale da cui difendersi, oggi virus, trojan e altri software malevoli altro non sono che un mezzo per raggiungere altri scopi o aprire la strada a minacce più pericolose.

A questo si deve aggiungere la capacità, sempre più raffinata, di sfruttare falle 0-day e vulnerabilità varie presenti all’interno dei software più diffusi e utilizzarle per penetrare all’interno di singoli computer o reti informatiche aziendali. è molto probabile, infatti, che gli hacker alzeranno sempre di più il tiro, mettendo al centro del mirino organizzazioni aziendali o governative, con l’obiettivo di trafugare dati sensibili e ricattarle in qualunque modo sia possibile.
Resistere all’attacco di un hacker motivato è una delle responsabilità più importanti per un amministratore di sistema, specialmente per i siti Web che devono mantenere informazioni sensibili sui clienti e hanno un elevato numero di utenti. In questo scenario, è dunque fondamentale, per un sysadmin, adottare misure proattive per correggere le vulnerabilità dei propri siti Web. Per prevenire questa minaccia si può ricorrere a uno strumento definito di Web-auditing.

Vega, l’amico del pentester

Vega Vulnerability Scanner è una piattaforma di test, gratuita e Open Source, per testare la sicurezza delle applicazioni Web, sviluppata dalla società di sicurezza Subgraph. È scritta in Java, si basa su una pratica GUI e funziona su Linux, OS X e Windows. Vega include uno scanner automatico per test rapidi e un proxy di intercettazione per l’ispezione tattica. Questo scanner è in grado di trovare XSS (cross-site scripting), SQL injection e altre vulnerabilità di vario genere. Vega può essere esteso utilizzando una potente API in JavaScript; tutte funzionalità interessanti, ma, per questo articolo, ci concentreremo sull’aspetto dei test di sicurezza automatizzati che possono aiutarci a trovare e convalidare SQL Injection, Cross-Site Scripting (XSS), informazioni sensibili divulgate inavvertitamente e molte altre vulnerabilità.

Se vuoi imparare a usare le tante funzionalità di Vega non perdere in edicola oppure online Hacker Journal 221!