Codice Insicuro - (a cura di Paolo Perego)

Per l'hackweek 2023 organizzata da SUSE ho deciso di iniziare a lavorare sulla funzionalità di parsing di applicazioni Sinatra alla ricerca di XSS e SQL Injection. Partiamo definendo l'ambiente e i casi di test. 🔗 LINK UTILI https://github.com/thesp0nge/dawnscanner https://hackweek.opensuse.org/23/projects/dawnscanner-parsing-a-simple-sinatra-application Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Ora è giunto il momento di lasciare che siano altri a testare il tuo perimetro. Dal classico PT al red teaming che sta prendendo piede sempre di più fino ai programmi di bug bounty che, se me lo chiedi, penso ogni azienda debba mettere in campo. La definizione di security.txt: https://securitytxt.org/ Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Metti in pratica il tuo processo di Vulnerability Management pianificando i tuoi vulnerability assessment. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Partendo da una frase letta su LinkedIN che affermava che un vulnerability assessment semestrale era un buon punto di partenza, mi sono chiesto: ma sappiamo comunicare ai nostri clienti quali test servono loro per davvero? Secondo me non sempre. Ne parlo a ruota libera qui, di fronte alla nostra macchinetta del caffè in questa miniserie. Oggi parliamo di quello che ti serve prima dei test... ovvero processi e commitment. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Recruiter aggressivi su LinkedIN con campagne massive. Persone della community che incalzano con domande la cui la prima risposta sarebbe "let me google it for you". In entrambi i casi, persone che spariscono senza un ciao o un grazie. Questo approccio alla lunga paga?🔗 L'ANGOLO DEI LINKLa puntata della mia newsletter Spot The Vuln dove parlo di Looney Tunable: https://www.linkedin.com/pulse/episodio-14-carichi-pendenti-cve-2023-4911-paolo-perego-/?trackingId=eFmgUXaLQoywos1eXpyzHA%3D%3DLa locanda del tech: https://www.twitch.tv/lalocandadeltechGuido Penta: https://www.linkedin.com/in/guido-penta/ Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Il progetto DeadDrops nasce a New York nel 2010 e torna in auge quest'anno, almeno qui in Italia secondo alcuni media. Idea romantica di una Internet decentralizzata o glory hole della sicurezza informatica? Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🔗 L'ANGOLO DEI LINK Il sito principale del progetto DeadDrops: https://deaddrops.com/ La pagina Wikipedia dedicata: https://en.wikipedia.org/wiki/USB_dead_drop L'articolo de Il Sole 24 Ore: https://www.ilsole24ore.com/art/dead-drop-fenomeno-chiavette-usb-muro-torna-anche-italia-AFdM5Qx L'articolo sul Corriere della Sera (Torino): https://torino.corriere.it/notizie/cultura/23_settembre_14/fenomeno-dead-drops-dove-sono-a-torino-le-chiavette-usb-nei-muri-fascino-low-tech-senza-connessione-1d1433a2-7160-4f09-9376-4cc01f9b9xlk.shtml Una USB killer su ebay: https://www.ebay.it/itm/123823026588 Isolatore Galvanico USB (link affiliato): https://amzn.to/48JT7uq 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Pausa del caffè virtuale dove si parla di un po' della cyber che mi sta intorno. Oggi ti racconto di RomHack 2023 e del mio tentativo per superare l'esame OSWE.Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Siamo arrivati al momento dei saluti, almeno per qualche settimana. Giusto il tempo di riorganizzare i contenuti e registrare cose nuove e presto saremo ancora insieme per parlare di #cybersecurity e #svilupposicuro. Nel frattempo, un piccolo consiglio da chi ne ha viste tante in questi anni. Non lasciate che la negatività di pochi rovini il vostro lavoro. Lavorate sempre per migliorare voi stessi e fate cose che vi rendono orgogliosi di voi. C'è sempre una massa silenziosa che giova del vostro lavoro. A presto. 🔗 LINK Il libro che mi ha ispirato: https://amzn.to/3YinIua (è un link affiliato) L'iniziativa SPOT THE VULN: https://github.com/thesp0nge/spot_the_vuln Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Cosa fa un product security engineer? Cosa vuol dire fare audit del codice e perché è così diverso da fare penetration test. Provo a spiegarlo in questo video. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

L'iniziativa "Spot the vuln", pensata per gli sviluppatori per dare loro un po' di mentalità offensiva e vedere il loro codice sorgente anche da una prospettiva diversa. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🔗 LINK Il repository GitHub dove ci saranno tutti gli esercizi. Metti il follow e tieni d'occhio il file README: https://github.com/thesp0nge/spot_the_vuln Spot the vuln 1: https://www.linkedin.com/feed/update/urn:li:activity:7083024430750142464/ Spot the vuln 2: https://www.linkedin.com/posts/paolo-perego_spotthevuln-awareness-safecoding-activity-7085528348516319236-ixIg?utm_source=share&utm_medium=member_desktop 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

#codereview #cybersecurity #opensource E se il primo strumento per l'analisi statica del codice fosse proprio il tuo compilatore? E se ci fosse la possibilità di iniziare la ricerca di buffer overflow, null pointer dereference e altre vulnerabilità, senza affidarsi a costosi software disegnati per essere cross per molti linguaggi? Ecco, iniziamo a vedere in una serie di video, come il compilatore C, presente nelle maggiori distribuzioni Linux e non solo, può essere usato come primo strumento nell'analisi statica. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Starò diventando troppo vecchio ma gira un'aria strana tra alcune community, non tutte per fortuna. Arrivano i soldi, arrivano i conflitti di interesse e spesso ignari iscritti sono in realtà il bacino di utenza a cui proporre servizi di consulenza. Snaturando un po' il senso stretto di community. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Dopo un po' di anni in questo mondo, ho maturato l'idea che avere un profilo a 360 gradi nella sicurezza informatica sia un po' come essere un personaggio multiclass di Dungeons and Dragons. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Come reagire ad un hater? Se ci sono spunti positivi, prenderli e chiedere scusa con chi mi segue ed è proprio quello che ho fatto.(ah, poi aggiorniamo la master dei miei ambienti per l'audit del codice a  @openSUSE  Leap 15.5) 📽️📽️📽️ CANALI CHE VI SUGGERISCO  @ippsec   @DarixDeros   @rev3rsesecurity   @securitycert  Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Oggi parliamo di code review e sviluppo sicuro. Ti do 3 consigli se vuoi partire subito a formarti su questi aspetti fondamentali per chi vuole fare carriera nel campo della #cybersecurity Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. LINKS https://romhack.io/training/code-review/https://www.secureflag.com/https://youtube.com/shorts/NmbC7XIxfbI https://www.offsec.com/courses/web-300/ https://www.cobalt.io/blog/awae/oswe-for-humans 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Chi l'ha detto che code review è solo "lanciare il tool"? Anzi, quasi mai lo è. Ecco un esempio di come revisionare e comprendere il codice mi porta ad una reverse shell.Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🔗 LINK UTILI Syllabus di OSWE: https://portal.offsec.com/courses/web-300/books-and-videos/modulesPipe: https://www.vulnhub.com/entry/devrandom-pipe,124/ 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Questo è il racconto di #offensivecon23, la conferenza che si tiene a Berlino ogni anno e che ci ha tenuto incollati alla poltrona dell'Hilton Hotel per due giorni, il 19 e 20 maggio. Questo è il racconto di come l'ho vissuto io, in compagnia di parte del team di security di #suselinux. Ti racconto le sensazioni, cosa mi ha lasciato e qualche spunto. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

#cybersecurity #comfortzone Qualche pensiero sparso prima del mio viaggio a Berlino. Stufi di eventi legati a sales o a fuffa, spingiamo per avere sempre più contenuti di livello tecnico avanzato. Solo questo potrà spingere l'innovazione tecnologica che si tramuta anche in ricerca, startup e opportunità di business. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🔗 LINK UTILIhttps://hackinbo.it/https://www.nohat.it/https://romhack.io/thttps://www.gitbar.it/episodes/ep150-security-con-paolo-perego-suseIl canale di SecurityCerts: https://discord.gg/KWzx6FCucF 🚀 FINITO IL VIDEO CORRI SUBITO A: Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1 Iscriverti al canale telegram: https://t.me/paoloperegoofficial Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/ Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Un video un po' diverso dal solito, un pezzetto di una mia giornata qualsiasi mentre faccio una code review. Volevo portarvi dietro le quinte, dentro la mia vita, evitando i classici video che si trovano in Rete dove tutto è perfetto. Fatemi sapere se vi piace il genere e ne volete ancora.

Fanno discutere alcune scelte "leggere" che sono state fatte per la campagna, pagata da noi contribuenti, per "Open To Meraviglia" (https://www.ministeroturismo.gov.it/italia-open-to-meraviglia/): 1. Immagini sgranate caricate da Whatsapp 2. L'uso di immagini provenienti da Stock commerciali per il corpo della Venere, senza poi tanta rielaborazione 3. Il video della campagna girato in Slovenia 4. Dominio opentomeraviglia.it non registrato e già registrato da terzi Ecco, scelte del genere "leggere" vengono fatte anche in campo "Cybersecurity"...

Il Parlamento Europeo sta per votare una policy per regolamentare come la sicurezza viene inserita all'interno del software. L'iniziativa, lodevole e piena di spunti interessanti, potrebbe avere gravi ripercussioni sul mondo del software opensource se fosse approvata così com'è. 🚨🚨🚨 Vieni a partecipare alla discussione sul canale: https://t.me/codiceinsicuro 🔗 LINK UTILI Il sito web del cyber resilience act: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-resilience-act-new-cybersecurity-rules-for-digital-products-and-ancillary-services_en Le reazioni da Voice of Opensource: https://blog.opensource.org/the-ultimate-list-of-reactions-to-the-cyber-resilience-act/ Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano.

Quarta ed ultima puntata sulla macchina SecureCode. Analizzando il codice troviamo il punto dove poter caricare un file contenente del codice arbitrario e prendiamo anche la seconda ed ultima flag. 🚨🚨🚨 Vieni a partecipare alla discussione sul canale: https://t.me/codiceinsicuro 🔗 LINK UTILI OSWE: https://www.offensive-security.com/courses/web-300/ La macchina SecureCode la trovi qui: https://www.vulnhub.com/entry/securecode-1,651/ La ricerca dicotomica: https://it.wikipedia.org/wiki/Ricerca_dicotomica Prima puntata: https://youtu.be/Uyj46n0I6J0 Seconda puntata: https://youtu.be/nLdPBxBwhBk Terza puntata: https://youtu.be/fvVSkpYnHdw Exploit: https://gist.github.com/thesp0nge/e5b0b01c19efecbc890d50c225810a88

A volte chi porta avanti un progetto opensource è solo. Oggi vi racconto una mia piccola storia di fallimento, di come potrei aver perso un'occasione, ma di come potrei risollevarmi come maintainer. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. 🔗 LINK UTILI https://github.com/thesp0nge/dawnscanner https://gitlab.com/gitlab-org/gitlab/-/issues/7283 https://www.perplexity.ai/search/9f5505be-6664-466f-85e9-edabf31c2d9b?s=u

La cultura del lavoro nel mondo #IT ed in particolare nel mondo della #cybersecurity soffre da sempre, almeno in Italia, della sindrome del "più sto seduto alla sedia e più tempo il mio capo è felice che io sia qui". Questo porta a #burnout e ambienti di lavoro tossici. Vediamo come riconoscerne uno e come difendersi. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano. ps contribuisci anche tu al progetto dawnscanner: https://github.com/thesp0nge/dawnscanner

Continua il viaggio nella macchina SecureCode. Oggi automatizziamo tutto quanto trovato finora in un unico script che sfrutta tutte le vulnerabilità fino a prendere la prima flag #cybersecurity #ethicalhacking 🔗 LINK UTILI OSWE: https://www.offensive-security.com/courses/web-300/ La macchina SecureCode la trovi qui: https://www.vulnhub.com/entry/securecode-1,651/ La ricerca dicotomica: https://it.wikipedia.org/wiki/Ricerca_dicotomica Prima puntata: https://youtu.be/Uyj46n0I6J0 Seconda puntata: https://youtu.be/nLdPBxBwhBk Exploit: https://gist.github.com/thesp0nge/e5b0b01c19efecbc890d50c225810a88

Incidentalmente, nel prendermi una pausa da una sessione di audit di salt, mi sono imbattuto in un bug nell'ultima versione stabile di gdbm. Bug che non poteva essere sfruttato ma che comunque è stato divertente trovare all'inizio di questa sessione di fuzzing. Il bug aperto sul sito di GNU: https://puszcza.gnu.org.ua/bugs/index.php?598 (in realtà proprio mentre giravo questo video, il bug è stato chiuso perché una fix è già presente in uno dei commit successivi al rilascio dell'ultima versione stabile)

Continua il viaggio nella macchina SecureCode. Oggi troviamo la SQL Injection e la sfruttiamo per entrare nell'applicazione. #cybersecurity #ethicalhacking 🔗 LINK UTILI OSWE: https://www.offensive-security.com/courses/web-300/ La macchina SecureCode la trovi qui: https://www.vulnhub.com/entry/securecode-1,651/

La neo promozione del prefetto Frattasi al ruolo di direttore dell'Agenzia per la Cybersicurezza Nazionale ha riproposto l'eterno dilemma: per posizioni apicali è meglio una persona dal background tecnico o meglio una persona che venga dal mondo della gestione di persone / budget?

Continua il mio viaggio di preparazione per #oswe. La macchina SecureCode è molto interessante e si basa sull'analisi del codice che viene lasciato a disposizione dell'attaccante. Oggi, in questa prima puntata, andremo ad analizzare l'api di Login per capire come funziona il meccanismo di autenticazione e trovare eventuali punti deboli. 🔗 LINK UTILI OSWE: https://www.offensive-security.com/courses/web-300/ La macchina SecureCode la trovi qui: https://www.vulnhub.com/entry/securecode-1,651/

Ieri Baldoni si è dimesso dall'Agenzia per la Cybersicurezza Nazionale. Nel weekend, sono nate sui social polemiche legate all'uso di consulenti per la stesura di alcuni documenti destinati al pubblico. In passato la comunicazione con la community si è spesso inceppata tra profili social chiusi al dialogo, annunci trionfalistici e allarmismo eccessivo per alcuni attacchi. Quanto avranno pesato? Cosa succederà ora?

Due giorni fa, è stata resa pubblica una problematica legata al file sudoers. Una linea commentata, senza uno spazio tra il carattere di commento ed il resto, viene interpretata come una linea lecita. Abbiamo, di fatto, una situazione di confusione dove un sysadmin potrebbe erroneamente pensare di aver tolto i privilegi ad un utente con successo. Attenzione, lo sfruttamento di questa vulnerabilità, richiede che root intervenga sul file sudoers. Questa problematica è stata originariamente riportata qui: https://social.treehouse.systems/@psykose/109967460650885493

Oggi vediamo un po' come gestisco l'analisi di una vulnerabilità. Tutto nasce da una CVE su salt che si è materializzata all'improvviso nel sistema di ticketing di SUSE. Un'esecuzione di codice arbitrario con CVSS 9.8, gli ingredienti per una pessima giornata da gestire. Come sarà andata? La pagina del NIST per questa CVE: https://nvd.nist.gov/vuln/detail/CVE-2021-33226 La mia analisi: https://bugzilla.suse.com/show_bug.cgi?id=1208473 Il progetto salt: https://saltproject.io/

Se stai per prendere una certificazione pensando che ti faciliti per i colloqui. Se vuoi affacciarti al mondo della #cybersecurity ma non sai come fare.  Se... Fermati, questo è il video che fa per te..   🔗 LINK UTILI  Qui troverai tante macchine interessanti per fare esercizio: https://www.vulnhub.com/ TryHackme: https://tryhackme.com/ Pwnx degli amici di Hacktive Security, consigliatissimo! https://pwnx.io/ La mia iniziativa di mentorship. Il cybercoach corner: https://codiceinsicuro.it/blog/nuova-iniziativa-cybercoach-corner/

Questo video nasce da alcuni commenti fatti durante una discussione su un canale telegram che parla di penetration test.   Pianificare un test di security in maniera poco accorta potrebbe essere deleterio e dare un falso senso di sicurezza... oppure semplicemente far contento l'auditor. Servono investimenti e servono per uno scopo preciso... vediamo assieme quale.

A volte si sbaglia e guardarsi indietro serve connettere i puntini e fare il punto di dove si è andati e tracciare la rotta per il futuro.  In questo video ripercorro e analizzo 5 degli errori più grandi che ho commesso nella mia vita professionale. L'idea è di analizzarli, comprenderli e ovviamente andare avanti evitando di rifarli nuovamente in futuro. Ti è piaciuto questo video? Iscriviti al canale, ogni settimana almeno 2 contenuti che parlano di sicurezza informatica, carriera e del mio quotidiano.   🚀 FINITO IL VIDEO CORRI SUBITO A:  Iscriverti al canale: ​https://youtube.com/c/PaoloPerego?sub_confirmation=1  Iscriverti al canale telegram: https://t.me/paoloperegoofficial  Seguirmi su Facebook: https://www.facebook.com/paoloperegoofficial  Seguirmi su Instagram: https://www.instagram.com/paoloperegoofficial/  Iscriverti a Security Code Review Italia: https://t.me/+G7jLn5WnygA1ZGM0

Un video su di me e sul percorso che mi ha portato qui. Spero vi piaccia.

Devi organizzare del training per dare basi di application security a sviluppatori? Sei un #devsecops e vuoi del materiale nuovo?   Non perderti questo video allora.   Link: Hacksplaining: https://www.hacksplaining.com/ Awesome devsecops: https://github.com/TaptuIT/awesome-devsecops Altro materiale su code review: https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/code-review-tools WaybackPy: https://github.com/akamhy/waybackpy

Oggi condivido con voi una riflessione su come tenere alto il livello tecnico di una conferenza, di un evento e di quanto questo sia utile per la community stessa.

A chi non piacerebbe tornare indietro e fare una scelta diversa? Sicuri sia sempre impossibile?

Mi hanno chiesto qualche consiglio su come trovare vulnerabilità nel codice. Eccone un paio insieme a 2 libri che mi sono stati utili nella mia formazione I Libri citati nel video (sono link Amazon affiliati):   Fuzzing: Brute Force Vulnerability Discovery: https://amzn.to/3WjzbXO The Art of Software Security Testing: Identifying Software Security Flaws: https://amzn.to/3HlkM9q

Anni '90: con i pochi mezzi di allora crescevano le skill e i professionisti. A distanza di 30 anni, i mezzi sono tantissimi ma il livello stenta a decollare (tranne casi come ad esempio evilsocket, raistlin, darix, theMiddle, i Mhackeroni e molti altri nomi noti). È quindi vero che anche nella #cybersecurity si stava meglio quando si stava peggio?

Un audit del codice non passa unicamente dall'eseguire un tool di scansione. Se pensi questo, devi assolutamente guardare questo video che ti farà ricredere immediatamente.  Nel video ho parlato del talk di Mark Dowd ad OffensiveCon 22. Lo trovi qui: https://www.youtube.com/watch?v=7Ysy6iA2sqA  

RAL. Stipendio. Soldi. Ogni tanto salta fuori la questione che gli stipendi nella #cybersecurity nostrana siano più bassi rispetto all'estero.  Questo è assolutamente vero e le motivazioni sono molteplici.  Vorrei però focalizzarmi su una domanda provocatoria: se fossimo noi stessi parte del problema? Scopriamolo insieme.

Hanno rubato i codici sorgenti di Slack. Vediamo insieme se, pur essendo un problema da gestire, può essere un problema di sicurezza e perché non dovrebbe esserlo.   Bonus track: i miei buoni propositi per il 2023 e l parola d’ordine: studiare.  

Si può iniziare l’anno senza un oroscopo ed un video delle previsioni per la cyber per il 2023?  Assolutamente no.  Ecco perché devi vedere questo video soprattutto se sei un head of… tanto sappiamo che non sei in call 😜