HTML5 Injection

Mattia Reggiani è un appassionato di Offensive Security, laureato in Sicurezza Informatica presso l'Università degli Studi di Milano e certificato CEH. Interessato in ethical hacking, forensics analysis e web application security, attualmente svolge l'attività di IT Security consultant. L'introduzione e la recente diffusione di HTML5 come nuovo linguaggio per le pagine Web, ha sollevato nuove vulnerabilità a causa d’implementazioni errate di questa tecnologia. Nel presente articolo sarà descritta la vulnerabilità HTML5 Injection e saranno mostrati scenari reali nella quale è possibile sfruttarla...

Posted By

Reportage: HackInBo 2015 – Lab Edition

Lo scorso weekend si è tenuta a Bologna la quarta edizione dell’HackInBo, l’evento tutto italiano organizzato da Mario Anglani, dedicato agli appassionati e ai professionisti nell’ambito della sicurezza informatica. Come ogni edizione i membri del team VoidSec hanno partecipato all’evento e quest’anno, per la prima volta, anche bughardy si è unito al gruppo. L’evento quest’anno ha assunto una forma totalmente nuova affiancando alla giornata dedicata alla teoria una giornata intera di laboratori pratici, una novità che abbiamo decisamente apprezzato. La prima giornata, quella...

Posted By

Host Header Injection

Articolo in collaborazione con: Jatinder Pal Singh, professionista da oltre nove anni nel settore dell’ Information Security. Master in Information & Security System dell’Università di Glamorgan, attualmente consulente capo (Threat Management Services) di Aujas Networks. HTTP Header Injection Vulnerability Le applicazioni web che non filtrano correttamente gli header delle intestazioni HTTP sono vulnerabili all’attacco HTTP Header Injection (anche conosciuto come Response Splitting); questa vulnerabilità non solo consente ad un attaccante di controllare le intestazioni e il corpo della risposta, ma gli consente...

Posted By

Android (Un)Security Guidelines

Venerdì 10 Aprile si è concluso a Torino il DroidCon: il congresso Europeo più importante per gli sviluppatori del sistema operativo Android e ritrovo per tutti gli appassionati. Quest’anno l’evento ha raggiunto il traguardo di circa 700 partecipanti e 70 speaker. Noi di VoidSec siamo stati relatori del talk: Android (Un)Security Guidelines Cosa fare, ma soprattutto, cosa non fare durante il ciclo di sviluppo di un'applicazione Android. In questo talk abbiamo mostrato quali sono le possibili problematiche e i vettori di attacco nello scenario Android,...

Posted By

HackInBo Lab Edition

Anche quest’anno a Bologna si terrà l’HackInBo, evento gratuito dedicato alla sicurezza informatica che si prefigge l’obiettivo di informare il pubblico italiano riguardo gli ultimi sviluppi di questo settore. L’evento è organizzato da Mario Anglani e come sempre, è rivolto a tutti quelli che per lavoro o per passione vogliono approfondire le tematiche relative alla sicurezza informatica. Questa quarta edizione, che si terrà a Bologna presso l’Auditorium Enzo Biagi della Sala Borsa, introduce una grande novità, la durata dell’evento che sarà...

Posted By

Report: Ghost Blogging Platform

Advisory: VoidSec-15-001 Disclosure date: March 03, 2015 Vendor: Ghost Advisory sent: January 26, 2015 First delay: February 24,2015   Download the Report Introduzione In Gennaio, il team VoidSec (voidsec, bughardy, smaury) ha realizzato un web application penetration test sulla piattaforma di blogging Ghost. Ghost è un nuovo content management system dedicato ai blogger che cercano un’alternativa a WordPress. Un crescente numero di utenti ha abbandonato i CMS tradizionali per abbracciare piattaforme più minimali, concentrate sulla lettura e la scrittura, essenziali; in questo Ghost è uno tra i software più popolari e molto utilizzato, sta...

Posted By

News: Droidcon 2015

Anche quest'anno, a Torino (Auditorium Centro Congressi 8 Gallery) il 9 e il 10 Aprile, si tiene il Droidcon, il congresso Europeo più importante per gli sviluppatori del sistema operativo Android e ritrovo per tutti gli appassionati. Dopo le ultime edizioni a Londra, Parigi e Berlino arriva a Torino portato dalla società di Information Technology: Synesthesia. Al momento non sappiamo ancora la lineup dei talks delle due giornate e aggiorneremo questa news appena verrà pubblicata. Qui se volete potete leggere il reportage...

Posted By

Report: Yahoo Messenger

Advisory: VoidSec-14-001 Disclosure date: December 08, 2014 CVSS Score: 3.2 Vendor: Yahoo Vulnerability discovery date: November 21, 2014   Scarica il Report [IT] | Download the Report [EN]   Introduzione Android offre agli sviluppatori diverse opzioni per salvare i dati persistenti delle applicazioni. I database locali dovrebbero archiviare i dati in maniera differente, a seconda che i dati siano privati e accessibili solo all’applicazione o all’utente e ad applicazioni esterne. In ogni caso, i dati sensibili dovrebbero sempre essere cifrati per evitare possibili violazioni della privacy. L’applicazione per Android, Yahoo Messenger, utilizza un database...

Posted By
HackInBo

Reportage: HackInBo 2014 – Winter Edition

Lo scorso fine settimana, 11 Ottobre, si è tenuto a Bologna la terza edizione dell’HackInBo (HackInBo Winter Edition). In questa edizione, si è parlato di: Mobile Security. L’evento, come sempre, è rivolto a tutti quelli che per lavoro o per passione vogliono approfondire gli argomenti riguardanti la sicurezza informatica; anche quest’anno i talks sono stati tenuti da professionisti affermati nel campo dell’IT security Italiano. Trovate il link alle slide dei relatori nel titolo del loro intervento. In apertura, il talk di Federico Maggi (ricercatore...

Posted By
HackInBo

HackInBo Winter Edition

Abbiamo già scritto in precedenza di HackInBo, evento gratuito sulla Sicurezza Informatica nella città di Bologna, nato per sopperire alla mancanza di una manifestazione di questo tipo sul territorio Bolognese e Italiano. Oggi vi presentiamo l'edizione "invernale" dell'evento di Mario Anglani, si parlerà di Mobile Security. Yvette Agostini, riconfermata moderatrice dell'evento, avrà al suo fianco alcuni speaker d’onore, esperti di Sicurezza Informatica di fama internazionale. Come sempre siamo felici che HackInBo sia stato riconfermato e vi invitiamo a partecipare prenotando i vostri biglietti su...

Posted By