security recensione

Recensione de 'Attacking and Exploiting Modern Web Applications'

  • Di
  • 2024-05-30 - 3 minuti
banner

Partiamo con il dire che non è un argomento per tutti, ma che dovrebbe esserlo: la sicurezza delle applicazioni, soprattutto nell’ecosistema web, è e dev’essere una responsabilità di tutte le persone che lavorano al suo interno, da chi si occupa del design a chi scrive il codice.

Recensione

Certo è che per entrare nel giusto mindset e avere una buona cassetta degli attrezzi se non si è direttamente dentro al topic, è tutta un’altra storia: spesso la documentazione delle varie tecnologie utilizzate per lo sviluppo web non hanno una sezione dedicata all’argomento, né le persone che vi lavorano sono direttamente coinvolte nel processo, se non quando è troppo tardi.

In questo, i due autori e fratelli Simone e Donato Onofri, vanno a colmare un buco non indifferente: il manuale è infatti perfetto per chi ha bisogno di mettere giù le basi per avere il giusto vocabolario e anche la conoscenza sufficiente ad addentrarsi nella tana del bianconiglio.

A eccezione del primo e del secondo, ogni capitolo è dedicato a definire i tipi attacchi più comuni e sempreverdi come XSS e SQL Injection, così come quelli che invece richiedono dei requisiti tecnici più specifici come l’attacco verso Smart Contracts in Ethereum, nonché una buona dose di capacità deduttiva e di studio delle vittime.

In effetti, il capitolo dedicato ad Electron è uno dei capitoli che ho trovato più interessanti: oltre ad aver affrontato una tecnologia che in questo periodo ha conosciuto una rapida crescita nella sua adozione-, mostra in che modo un framework come questo sia soggetto a vulnerabilità non solo per via della sua architettura, ma soprattutto per via del suo utilizzo. Quanto descritto nello use case riportato è -purtroppo- qualcosa di applicabile anche ad altri framework “fratelli”, per cui la sua importanza assume un valore incredibile in un mondo attualmente così connesso, nell’era di Internet.

La realtà dei fatti è che molti degli attacchi nei confronti di applicazioni web avvengono per una mancata consapevolezza degli strumenti a disposizione più che per vulnerabilità intriseche della tecnologia utilizzata.

La cosa particolarmente interessante di questo volume è il pattern utilizzato per definire e mostrare gli attacchi: ognuno di questo è preso in esame in modo estremamente pratico, con tanto di b quasi sempre open per mettere le mani in pasta, e ognuno di questi riporta quelli che sono i requisiti tecnici per portare avanti l’attacco, il modus operandi e come approfondire lo stesso per portare ad altre tipologie di exploit.

Il tutto è sempre condito dai riferimenti bibliografici, documentazione e tutto il materiale necessario che permette a chi usa questo manuale per introdursi al tema, analizzare i potenziali exploit e intraprendere un percorso che possa portare verso la piena presa di coscienza degli strumenti utilizzati.

Un manuale estremamente completo e scritto in maniera chiara, esaustiva e interessante!

Lezione imparata

  • Un XSS può non riguardare solo le pagine principali di un sito, ma anche un messaggio di errore: spaventoso.
  • Le funzioni cosiddette “sink” (spesso presenti in tool come Wordpress attraverso i diversi hook) sono estremamente pericolose e sono quelle che devono essere più attenzionate.
  • La sicurezza è una di quelle materie che più si studia, meno si conosce: è un mondo così in continua evoluzione che anche partendo oggi, è necessario correre più veloce di Usain Bolt se avesse 10 gambe.

Quotes

  • “This pattern (referring to the ability to exploit a vulnerability from whoever and use to harm systems in public domain is similar to what we observe in geopolitics […]. In this scenario, nations build up armaments to prevent conflict. […] this action ironically leads to the opposite effect.”

Se questa recensione ti ha messo curiosità, trovi il libro qui!

Post correlati

#TheRedComics

Giugno

A cura di Sophie Aiello, copy di Chiara Romano

La dura vita di una madre tech - Meme
Segui Sophie Aiello su:
Segui Chiara Romano su:

TheRedCode Digest

La tecnologia corre, e tu devi correre più veloce per rimanere sempre sul pezzo! 🚀

Riceverai una volta al mese (o anche meno) con codici sconto per partecipare agli eventi del settore, quiz per vincere dei gadget e i recap degli articoli più interessanti pubblicati sul blog

Ci sto!

Partners

Community, aziende e persone che supportano attivamente il blog

Logo di Codemotion
Logo di GrUSP
Logo di Python Milano
Logo di Schrodinger Hat
Logo di Python Biella Group
Logo di Fuzzy Brains
Logo di Django Girls
Logo di Improove
Logo del libro open source
Logo di NgRome
Logo de La Locanda del Tech

Vuoi diventare #tech content writer? 🖊️

Se vuoi raccontare la tua sul mondo #tech con dei post a tema o vuoi condividere la tua esperienza con la community, sei nel posto giusto! 😉

Manda una mail a collaborazioni[at]theredcode.it con la tua proposta e diventa la prossima penna del blog!

Ma sì, facciamolo!