L’SQL Injection è uno dei metodi più utilizzati dai cracker per accedere clandestinamente ad un sito web, mirato a colpire le applicazioni web che si appoggiano su un database di tipo SQL.
Subire un attacco del genere può spesso portare a conseguenze a dir poco catastrofiche… ma come scoprire se il tuo sito web (o blog) è vulnerabile ad attacchi di tipo SQL Injection?
Puoi farlo grazie a SQLFury il primo scanner in Adobe Air che utilizza la Blind SQL Injection per estrarre informazioni dal database e individuare in questo modo le eventuali vulnerabilità.
SQLFury è in grado di estrarre la versione del database, l’user del database corrente, il nome del database, i nomi delle tabelle, i nomi delle colonne ed intere colonne.
SQLFury supporta MySQL, PostgreSQL, Oracle e Microsoft SQL Server.
In alternativa puoi anche utilizzare SQLMap un ottimo scanner sviluppato in Python (qui trovi un video dimostrativo di SQLMap).
Secunia (PSI) è un software gratuito che permette di effettuare la scansione del sistema alla ricerca di quei programmi non aggiornati che contengono delle vulnerabilità.
Oltre a segnalare la presenza di software non aggiornati permette di diagnosticare la mancanza di patch relative al sistema operativo.
L’utilizzo è molto semplice: basta installare il software di Secunia ed avviare il programma per iniziare la scansione automatica degli update e delle vulnerabilità del sistema. Al termine Secunia ci restituirà una lista con i risultati. Nella lista accanto ad ogni software da aggiornare o vulnerabilità rilevata, troviamo un link con la “Solution” che permette con un semplice clic di scaricare la versione aggiornata oppure “Forum” per cercare ulteriori informazioni sui risultati sul forum di Secunia.
Inoltre è possibile avviare Secunia in due modalità “Simple” e “Advanced” , quest’ultima modalità è consigliata per gli utenti esperti.
Un software molto utile che ci evita di stare a cercare in internet uno per uno gli aggiornamenti dei software installati ma anche per scovare tutte le vulnerabilità ed evitare in questo modo che un qualsiasi malintenzionato, da remoto, acceda ai nostri dati personali.
Il Clickjacking (scippo dei click) è una nuova minaccia potenzialmente molto pericolosa che consiste nel catturare con l’inganno il click del mouse redirigerlo su un oggetto diverso da quello che l’utente intendeva cliccare. Ad esempio: l’utente fa click su un link per accedere ad una pagina web e questa sua azione viene rediretta a sua insaputa su un pulsante per attivare una certa azione. In questo modo è possibile costringere l’utente a fare quasi qualunque cosa all’interno di una pagina web.
Tutti i browser in circolazione sono affetti da questa grave vulnerabilità solo i browser molto vecchi e quelli solo testuali sono immuni (come Lynx e Links).
Le potenzialità di questo tipo di attacco sono numerose, anche se è difficile poter stabilire fino a quanto un hacker si possa spingere con un attacco del genere.
Al momento, l’unica difesa efficace consiste nell’utilizzare Firefox abbinato al plugin NoScript oppure utilizzando un browser solo testuale.
Dato che si tratta di un bug nella progettazione stessa di alcuni standard del World Wide Web non c’è una soluzione semplice e definitiva anche se i ricercatori stanno lavorando con Microsoft, Apple e Mozilla per la creazione di un patch in grado di aggirare il problema.
Maggiori informazioni qui.
Windows Doctor è un nuovo programma professionale per la sicurezza e la protezione del sistema di ottimizzazione del sistema operativo Windows (xp/2003/Vista).
Scansiona accuratamente le patch di vulnerabilità (oltre a quelle segnalate da windows update), gli elementi d’avvio, plug-ins, servizi e processi vari e da trojan, spyware e virus.
Ha inoltre funzioni come pulizia per la privacy, pulizia del registro di sistema, aumentando cosi la velocita’ di funzionamento del sistema operativo.
(Continua…)
Posted by: ILaRi@ in 
tagging: , 
Condividi l'articolo!
