My You Tube channel

|
Categoria: In my opinion
|
sicurezza informatica notizie

Credo che sia uno dei più interessanti "call for papers" organizzati per stimolare la ricerca di vulnerabilità che affliggono il Php. Partecipano e organizzano l'evento i più grandi esperti di sicurezza informatica, quelli che a volte erroneamente chiamiamo hackers, assimilandoli ad un folto gruppo di scalmanati ragazzini... e no! Questo è un livello di preparazione completamente diverso e molto più elevato,... quì c'è solo da imparare ed essere umili. L'evento si è concluso alla fine Giugno. Perchè scrivo solo ora? ... Perchè nel frattempo, umilmente, ho imparato,... quello che ho potuto!

Il vincitore di quest'anno è stato Stefan Esser. Stefan è uno dei maggiori esperti di Php a cui si possono ricondurre numerosissime vulnerabilità scoperte in questo linguaggio, quì trovate un suo breve profilo.
Il regolamento per poter partecipare con i propri paper presuppone skill molto elevati, non vengono considerate vulnerabilità che consentono il semplice (!?) safe_mode, open_basedir bypass, non vengono assolutamente "prodotti" 0day ma ogni vulnerabilità dimostrata viene immediatamente comunicata al vendor.
Il paper di Stefan è oltre che interessante e la vulnerabilità scoperta ha un impatto molto alto sul server coinvolto: Remote code execution, mica noccioline, è l'own del server in pochi minuti! Ma anche gli altri paper e le relative vulnerabilità sono da brivido, provate a guardare...
L'ha nominata "PHP SplObjectStorage Deserialization Use-After-Free" e riguarda la funzione unserialize() della standard php library o meglio di un'altra funzione che si occupa di liberare precedenti dati nel caso di uno stesso oggetto inserito due volte. ( spl_object_storage_attach() ).
Se avete dato uno sguardo al paper pubblicato di Stefan noterete che si è ben guardato dal descrivere tutto con un poc, visto appunto l'impatto e la relativa facilità di applicazione, ma la rete si sà ha molte risorse, c'è anche chi studiando questo paper ha pensato di aggiungere un suo valore a questo lavoro, scrivendo una bella spiegazione di questa vulnerabilità, molto dettagliata e documentata con screen.
E gli hoster? ... avranno già posto rimedio? ...perchè la lista è lunga!

Multirotori

 Multicopters I miei droni multirotore. Una semplice curiosità diventata una passione e qualcosa di più.
Il punto di incontro tra programmazione, volo, arduino, tecnica e manualità ...stimolante!
Consigli ed esperienze realizzative di vari modelli dedicati sia al divertimento che all'uso professionale.

Joomla

 Joomla! Un Framework promettente ed un collaudato CMS che, con l'adeguata conoscenza, può diventare un avanzato strumento di lavoro.
Come si può conoscere uno strumento se non usandolo, sperimentando sempre nuove soluzioni e seguendo le sue problematiche di sicurezza?

Lifehacking

 Lifehacking Non c'è oggetto per casa che non ho aperto, è maniacale ma non riesco a rinunciare, come se quelle quattro viti, quella fessura a scatto mi impedisse di conoscere, scoprire, imparare qualcosa, sigillandolo come un segreto.
Tutto può funzionare meglio o diventare più utile e versatile ...è Life Hacking!

Parapendio

 Parapendio Volare è un po' come avere la possibilità di osservare le cose da un'altra prospettiva, senza i vincoli di una forza che ti costringe a muoverti come un pedone degli scacchi per le strade di una città. Il mio sogno sta nell'armadio, pronto a farmi evadere quando ne sento il bisogno e l'aria lo permette.
© 2024 Spazioalchimia

Oggi sono passate a trovarmi 0 persone che hanno visitato 0 pagine.

Back to Top