Categoria: IT Security

Leave a reply

Compilare WPScan 2.9.4-dev su Debian Jessie

Per chi come me si ritrova WPScan alla versione 2.9.2 e vuole aggiornarla all’ultima versione attuale, quindi alla 2.9.4-dev (anche se l’ultima versione stabile è la 2.9.3), e quindi con nuove funzionalità, lo può fare con meno sbattimenti rispetto a prima per quanto riguarda la versione di Ruby, la versione consigliata dal team di WPScan è l’ultima stabile, cioè la 2.4.2.

Mi riferisco a questo articolo, che oramai è da considerare obsoleto: https://www.freenixsecurity.net/it/2017/04/14/wpscan-come-trovare-vulnerabilita-in-wordpress/

La guida in questione è ancora su Debian Jessie, perchè su Stretch sto ancora risolvendo dei piccoli grandi problemi in modo da poter sfornare le distro. L’unica distro derivata da Debian Stretch attualmente è SparkyLinux.
(altro…)




Leave a reply

Due siti in un unico hosting

Carissimi lettori di FreeNIX Security, è per me un privilegio di aver ricevuto l’invito a scrivere in questo sito e aver conosciuto quel vulcano di Dave Null .

Per conoscerci meglio, scrivo di cosa mi è capitato in questi giorni, così capite con chi avete a che fare (E LO EVITERETE xD)

In questi giorni ho messo a repentaglio il sito del mio blog personale ZamboLinux.

Tutto è nato dalla mia volontà di accelerare i tempi per mettere online il sito di LinuxHUB
(altro…)




Leave a reply

Django Framework #2 – Creiamo la nostra prima web-application (l’importanza del modello dati)

In questa seconda lezione daremo un approccio molto pratico e faremo riferimento al nostro progetto creato nella prima lezione.
Più avanti nelle lezioni parleremo delle basi di dati in Django, della configurazione del file settings.py e di come funziona l’Object Relational Mapping (ORM).

Vediamo subito come si fa ad utilizzare il database, creare le tabelle ecc.

Per inizializzare la base dei dati accedi nella cartella \test-django\tutorial_django ed esegui:

python manage.py migrate

(altro…)




Leave a reply

Phishing: quando la rete pesca la truffa…

Il phishing è un tipo di truffa via Internet attraverso la quale un aggressore cerca di ingannare la vittima convincendola a fornire informazioni personali sensibili. (wikipedia)

Capita spesso ai cibernauti in giro per la rete, di trovarsi di fronte ad una email inviata dal nostro istituto bancario o dalle Poste in cui ci viene fatta richiesta di fornire le credenziali di accesso al conto corrente, per i più svariati motivi.

“…il tuo conto è stato bloccato! Per sbloccare clicca qui ed inserisci il tuo nome utente e password…” oppure “…stiamo verificando il sistema di accesso al nostro sistema di home banking, clicca qui per inserire i tuoi dati di accesso ed entrare…” per non parlare dei lontani parenti mai conosciuti, che ci scrivono per lasciarci un’eredità a dieci zeri sul nostro conto. I casi da citare sono numerosi, la letteratura in materia è ormai ampia, ma il fattore comune è unico: far abboccare l’utente…

Come capire se una email è in realtà un caso di phishing?
(altro…)




Leave a reply

Exploit – Cosa sono e come si programmano

La realizzazione di exploit è uno dei pilastri dell’hacking, un programma si compone di un complesso insieme di regole che seguono un flusso
d’esecuzione prestabilito, il quale determina il comportamento del computer. L’exploit è essenzialmente sfruttare la vulnerabilità di quel programma, per farsì che il computer si comporti come vogliamo noi.
Trovare le falle e correggerle richiede molta esperienza e creatività, però bisogna tenere in considerazione che molte volte il programmatore non sempre scrive quello che intendeva realmente fare… Le cause sono di vario tipo, come:

Cambiamenti di sintassi, cambio di idee oppure semplicemente distrazioni.
(altro…)




Leave a reply

Come diventare Penetration Tester

Penso che prima o poi, tutti ci siamo posti questa domanda… Ovvero:”Come faccio a diventare un Pentester?”, bene, ognuno espone la propria teoria a riguardo, e mi sento in dovere ad esporre la mia.
Per diventare Penetration Tester, bisogna avere delle conoscenze informatiche a 360 gradi.
I requisiti sono molti, tra i quali, le conoscenze del networking, sistemi operativi, programmazione e altre conoscenze sempre legate all’informatica ed alle telecomunicazioni. Quindi bisogna dire che l’università (sempre legata all’informatica e telecomunicazioni) dovrebbe aiutare, ma non solo… Bisogna studiare nel fondo complesso di ogni argomento, per avere idee chiare sul da farsi. Se si hanno questi requisiti, si può passare ad eseguire alcuni corsi, tra i quali:
(altro…)




Leave a reply

[REAL HACKING VIDEOS] rEmOtEr vs microsoft.co.uk 2007

Per animare un pò gli animi ho pensato bene di caricare un vecchio video di un vero defacement effettuato da rEmOtEr, un hacker dell’Arabia Saudita.

Sfruttò una vulnerabilità di tipo SQL Injection per defacciare il sito di microsoft.co.uk nel lontano 2007.

Il video è diviso in due parti.
(altro…)




Leave a reply

Altervista risponde al grande bug

Senza che avessi segnalato nulla, ma ero in procinto di farlo, Altervista mi contatta in merito al bug, spiego loro di che si tratta e scaricano il barile a CloudFlare.

In che consiste questo bug?

E’ un particolare attacco DoS (Denial of Service) chiamato slowloris.
(altro…)




Leave a reply

Vulnerabilità grave sui server di Altervista

Scusate l’attesa, erano un paio di giorni che non scrivevo qualcosa, ero intento a studiare ed a sbrigare le pratiche per kickstarter, e poi come vi ho detto prima, migrerò tutto su un altro dominio.

La migrazione avverrà tra giovedì e venerdì, e proprio quel giorno rilascerò i dettagli di una scoperta sconvolgente.
(altro…)




Leave a reply

Hacking Contest – Nessun bug segnalato

E’ passata quasi una settimana ed ancora non ho ricevuto segnalazioni di bug sulla mail hacktest@riseup.net

Come mai?

Sono davvero sicuri questi CMS?
(altro…)