THP Wisec USH DigitalBullets TheHackersPlace network
The WIse SECurity
.italian
.english
Wisec Home SecSearch Progetti Documenti Pensieri in Sicurezza
 
Servizi alle Aziende
Consulenza sulla Privacy
Migrazione a Linux
Corsi per la Programmazione Sicura
Verifica della Sicurezza
News
Adobe Plugins Multiple Vulnerabilities
Wisec@23rd.CCC Congress a Berlino - Venerdì 29 Dicembre - Subverting Ajax.
SecSearch. Search Engine for Security Community.
Vulnerabilità Mysql COM_TABLE_DUMP.
Vulnerabilità Mysql Anonymous login.
On line le slides Web Security Through Examples @ SMAU2005.
Wisec@SMAU2005 - Domenica 23 Ottobre - Web Security Through Examples.
Un nuovo progetto per il problema delle password in chiaro in Php: PassBroker.
Tutte le vulnerabilità trovate
PHP shmop safemode bypass
Un Blog personale sulla sicurezza
Concetti di Sicurezza in Php
PHP RFC1867 Vuln.
Cerca su Wisec
Google

Wisec Projects

HMAuth

Quando c'è la necessità di autenticare utenti via web, le password sono
spesso mandate in chiaro su un canale non sicuro (leggi CMS & co.).
Tutto cio' puo portare allo sniffing delle password...

Quello che segue è un modo per evitare proprio il passaggio di passwords
su un canale insicuro.
Un metodo di facile integrazione per aumentare la sicurezza di dei soliti CMS pronti per l'uso (e non).

Vai alla pagina di HMAuth.

PassBroker per Php

Se vi e' capitato di chiedervi:
"Come si puo' fare a nascondere negli script PHP username e password per evitare che tali informazioni possano venire visualizzati da utenti non autorizzati, o da cracker che sono riusciti ad entrare nel sistema?"
Siete le persone giuste nel posto giusto e vi consiglio di installare PassBroker sul vostro sito web.
PassBroker e' una estensione per PHP, scritta in c che dispensa informazioni che non vorreste visualizzare direttamente all'interno dello script php secondo regole di accesso definite dall'utente.

Vai alla pagina di PassBroker.

Mod Anti Tamper per Apache 2

Mod AntiTamper (AT) e' un modulo per Apache 2.x che puo' essere usato per prevenire
alcune forme di manipolazione delle url e dei cookie.

In particolare, i bot che sfruttano i motori di ricerca per la ricerca di collegamenti a indirizzi web da attaccare saranno innocui.
Tecniche di attacco come l'Http Response Splitting o il session hijacking/fixation saranno fortemente mitigate.
Come funziona?
AT si inserisce nella catena dei filtri di Apache e modifica l'html in uscita
firmando con sha1 i link specificati nella pagina e i cookie inviati.

E' importante fare notare che mod_anti_tamper non si propone come alternativa a mod_security ma piuttosto come complemento.

Vai alla pagina di Mod Anti Tamper.

Wisec - Un'Idea sviluppata e mantenuta da...

Wisec è scritto e mantenuto da Stefano Di Paola.

Wisec usa standard aperti, inclusi XHTML, PHP e CSS2.

Tutti i Diritti Riservati 2004
Tutti i messaggi e i metadati appartengono ai rispettivi autori.