Sicurezza Web Lato Client: attacchi a Web 2.0

Giorgio Fedon – OWASP, Stefano Di Paola – OWASP

martedì 6 ore 15.30

La capacita dei browser di utilizzare richieste asincrone introduce una nuova serie di possibilita' di attacco che fanno uso di queste caratteristiche avanzate. In particolare, sfruttando vulnerabilità sia su applicazioni ajax che sui comuni servizi web, si puo' iniettare del codice lato client per prendere il totale controllo della comunicazione con un server. Verranno approfonditi gli aspetti di sicurezza di tali tecnologie, con particolare attenzione alle problematiche inerenti la privacy e il phishing. Ajax non rappresenta solamente un insieme di funzionalità per lo sviluppo web, ma anche un nuovo paradigma che permette attacchi piu' raffinati.

Giorgio Fedon. Laureato presso l'Università Bocconi di Milano, lavora attualmente come Senior Security Consultant presso Emaze Networks S.p.a. Supervisiona progetti di Analisi Forense, Code Auditing, Penetration Testing, Vulnerability Assessment, Analisi Malware per le maggiori aziende, istituti di credito ed enti sul territorio nazionale. In ambito di ricerca si e' occupato principalmente di metamorfismo e motori polimorfici, tecniche di automazione di exploiting e ricerca di vulnerabilità in applicazioni web (client e server). E' stato relatore presso conferenze nazionali ed internazionali e collabora con alcune prestigiose università italiane, fra cui l'Università Bocconi di Milano nel corso Information Security. Ha lavorato precedentemente come dipendente presso il dipartimento System and Technology group dell'IBM di Dublino.

Stefano Di Paola. Ingegnere Informatico senior, lavora come consulente ICT per numerose aziende e pubbliche amministrazioni e collabora con l'universita' di Firenze come docente a contratto per il corso di laurea di Ingegneria Informatica. Sviluppatore di applicativi in ambito Opensource e coordinatore di progetti per la diffusione di conoscenze per l'educazione all'utilizzo del software libero. Esperto in soluzioni Web based, si occupa di sicurezza in ambito professionale dal 1997; ha scoperto e pubblicato Advisory riguardanti vulnerabilita' nell'intera suite PHP - MySQL. Negli ultimi anni si e' concentrato principalmente sulla sicurezza dei sistemi opensource con particolare attenzione al Web che considera troppo spesso ilpunto piu' vulnerabile delle reti aziendali. Collabora con il progetto OWASP capitolo italiano.

< Snort ricette d'uso | Infosecurity07 | La nuova metodologia OWASP per l'audit di sicurezza degli applicativi >