Web Application Security
Il web. La casa di circa 800 milioni di "netcitizens". La casa di circa 100 milioni di siti web. Il canale su cui ogni giorno "scorrono" bilioni di dollari. E' un dato di fatto che l'economia internazionale è strettamente dipendente dal fenomeno "web".
La nostra vita si basa su termini come "web-mail", "forum", "blogs" , "home-banking" e tutti questi termini che fanno tanto figo. Le nostre informazioni più riservate, come nome,cognome, carte di credito ed altre informazioni "sensibili" sono archiviate e gestite da "applicazioni web" sparse su i server di mezzo mondo. Stando alle statistiche attuali, 8 applicazioni web su 10 presentano "gravi" problemi di sicurezza che possono esporre i dati archiviati.
Le organizzazioni che archiviano e gestiscono i "nostri" dati sono responsabili delle protezione degli stessi. Ogni giorno, assistiamo a fenomi di "furto d'identià", "defacement" ed articoli pubblicati in "full-disclosure" i quali dimostrano quanto il web, al giorno d'oggi, sia "totalmente insicuro".
Le applicazioni web iniziano, con il tempo, ad essere una delle colonne portante di importanti architetture di manutezione e gestione. "Transazioni bancarie" , "Sistemi di controllo Elettricità" , "Camere di Sorveglianza" etc etc. Tutte queste applicazioni possono essere compromesse.
La sicurezza informatica, per la sua vastità è una scienza complessa in cui ci s'incammina a testa bassa sperando di riuscire a capire qualcosa. La Web Application "Insecurity" ha iniziato a diventare così la più semplice, diretta e semplice tecnica per compromettere intere compagnie.
Ogni giorno, amministratori di sistema cercano di "perimetrizzare" le loro reti con firewalls, IDS, network scanners, password. A volte vengono applicate regole tanto precise che assomigliano sempre di più a tattiche di guerra vere e proprie. Il concetto base è semplice : permettere ad utenti legittimi di fare quello per cui la rete è stata progettata.. il resto.. fuori.
In qualche modo questo poteva essere valido fino a quando le web applications non hanno fatto il loro ingresso nel campo economico/planetario. La quasi totalità delle applicazioni "importanti" girano su porta 443 (SSL) oltre che alla 80 (HTTP). In parole povere.. si permette al mondo intero di giocare con questi canali e "sperare" che tutti giochino correttamente.
Per quanto un sistemista possa essere bravo (skillato), si troverà tutti i giorni ad affrontare problemi legati alla sicurezza.
I Web Developers, oggi, giocano un ruolo fondamentale nello sviluppo dell'economia globale. Essi sono responsabili della sicurezza a livello, non solo applicativo, ma anche strutturale. Il loro scopo, non è solo quello di creare una serie di "pagine web".. il loro scopo è quello di creare un mondo. Un mondo, semplice, architetturalmente corretto e funzionante il quale possa permettere al business "di funzionare" e garantire la sicurezza dello stesso
Al giorno d'oggi, milioni di utenti (maleintenzionati compresi) possono accedere ad applicazioni / web servers direttamente da internet.. da qualsiasi parte del mondo. Termini come "Cross Site Scriptin", "Structured Query Language Injection" ed altre tecniche sono attacchi e fenomeni di cui essi stessi sono "direttamente" responsabili.
La sicurezza delle applicazioni web è un area complessa, con molte discipline da apprendere e capire. La figura qui sopra, mostra le aree principalmente legate alla sicurezza web.
Al giorno in cui si scrive questo articolo, la minaccia più grande che i sviluppatori web devono affrontare è Cross Site Scripting (XSS). Pur essendo una piccola sfaccettatura della Web Application Security, questa rappresenta la più pericolosa vulnerabilità attualmente in circolazione. Una singola variabile non verificata.. un semplice bug.. possono portare compromettere una intera sessione di navigazione. In termini reali questo si trasforma in :furto d'identità,informazioni personali e denaro (si avete letto bene).
In questo blog, ho pubblicato differenti advisory che hanno dimostrato quanto XSS sia frequente nello scenario web italiano. Ho così preso la decisione di postare una serie di articoli le quali dimostrino come e quanto può far male XSS. Molti dei contenuti che verranno pubblicati potranno essere "visti male" da molti personaggi.. specialmente quelli a cui appartengono le applicazioni vulnerabili citate.
Speriamo serva a qualcosa.
A presto!
