Su consiglio di Agatino ho finalmente letto "Top 10 Web 2.0 Attack Vectors"di Shreeraj Shah - net square (che a sua volta Agatino ha trovato attraverso la segnalazione di  programmazione.it). Ecco le mi considerazioni.

Cos’è il Web 2.0?

Per quei due o tre lettori che avessero perso le ultime puntate delle rivoluzione in atto nella rete ricordo che con Web 2.0 si intendono tutti quei nuovi servizi in cui  vi è una fortissima interrelazione fra l’ideatore ed il fruitore dei contenuti; in poche parole il web 2.0 sei tu! Perché leggere Repubblica.it se posso aggregarmi il mio giornale quotidiano (solo le notizie che mi interessano) attraverso RSS, Feed, Tag, AJAX eccetera?
Massima interattività, massima condivisione e massimo pericolo!

I pericoli

Shreeraj Shah, nel suo articolo del 9 ottobre 2006, classifica le nuove minacce al Web 2.0 come segue.

1.Cross-site scripting in AJAX

Attacchi costruiti usando lingauggi di scripting (in primis: JavaScript) che dal web site colpiscono il malcapitato client. Esempi recenti: Yamanner worm, Samy worm. Dice Shreeraj: "questo tipo di attacco era possibile anche nelle applicazioni web tradizionali ma è rafforzato dall’approccio di AJAX "

2. XML poisoning

Costruire istruzioni XML volutamente erronee per danneggiare il traffico tra le applicazioni.

3. Malicious AJAX code execution

Attacco basato sulla sostituzione dei cooky quando il browser effettua una chiamata AJAX.

4. RSS / Atom injection

Questo attacco è specifico delle applicazioni web 2.0. Come noto gli RSS feed permettono di ricevere, sul proprio browser, gli aggiornamenti informativi in modalità più o meno automatica: un attaccante potrebbe inserire ("iniettare") codice JavaScript malefico (malizioso? maligno?) nel flusso RSS.

5. WSDL scanning and enumeration

WSDL (Web Services Definition Language) è un’interfaccia ai Web services. Questo file fornisce informazioni chiave sulle tecnologie in uso, metodi esposti, invocation patterns, eccetera; tutte informazioni importantissime per un attaccante.

6. Client side validation in AJAX routine

Le applicazioni web 2.0 usano routine AJAX per svolgere parte delle attività sul client (e rendere possibile e rapida l’interattività). È possibile bypassare i controlli AJAX-based e fare richieste POST o GET dirette; in quest modo però ci si espone ad atacchi noti come "input validation based" quali SQL injection, LDAP injection, eccetera.

7. Web services routing issues

I protocolli di sicurezza dei web services prevedeono i WS-Routing service che permettono ai messaggi SOAP di transitare in una sequenza specificata attraverso i differenti nodi di Internet. Compromettere un  nodo intermedio può invalidare i messaggi SOAP.

8. Parameter manipulation with SOAP

I web services utilizzano informazioni e variabili dei messaggi SOAP; è possibile manipolare queste variabili per compromettere i nodi.

9. XPATH injection in SOAP message

XPATH è un linguaggio di interrogazione dei documenti XML; esistono specifici attacchi noti come XPATH injection che permettono di bypassarei meccanismi di autenticazione. Sono già note vulnerabilità e debolezze in XPATH.

10. RIA thick client binary manipulation

Le Rich Internet Application (RIA) arricchiscono le tradizionali appliazioni web con codice Flash, controlli ActiveX o Applet per facilitare la GUI. Ma dato che tali componenti sono scaricate in formato binario sul client un attaccante potrebbe, decompilanto il componente e modificandolo, iniettare codice malevole nel client.

Le conclusioni di Shreeraj Shah

Occorre aumentare la consapevolezza e il know-how della sicurezza in particolare analizzando le problematiche specifiche del web 2.0.

Il mio consiglio.

Leggete le interviste agli amici di OAWASP

• Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja
• Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon
• Application security: intervista ad Antonio Parata di OWASP
• OWASP: i vincitori dell'Autumn of Code 2006
• Intervista a Matteo Meucci di Owasp Italia
• SMAU: OWASP, applicativi web vulnerabili
• Matteo Meucci: Web Application Security e il progetto OWASP (pdf zip,  2 M)
  

Chi è Manlio Torquato?

Manlio si occupa di sicurezza informatica da tanti anni. È tra i fondatori dell'Associazione Nazionale Esperti di Sicurezza e Compliance (ANESC)
Per IsacaRoma Newsletter ha scritto:

• NIST: Guida (in bozza) alla sicurezza dei sistemi RFID
• Dal vulnerability assessment al vulnerability management
• NIST: Guida ai Sistemi di Intrusion Detection e Prevention (IDP)
• La macchina del tempo – luglio 2004 
• L’Italia secondo il Critical Information Infrastructure Protection (CIIP) Handbook
• Letture sotto l’ombrellone per i Security Manager
• Phishing – attacco all’autenticazione a due fattori
• Zero day attack 

 Contatti?