Sono abbacinato da quest’uomo. 
Che ne pensi degli sforzi dell’industria e del mondo accademico sul tema di ricerca e sviluppo in tema di sicurezza it?
Io non lavoro nell’ambito sicurezza ma seguo da tanti anni Frans Rosen
https://twitter.com/fransrosen?lang=en
Conosci?
non necessariamente rilevante ma suppongo il classico mickens sia invecchiato come buon vino™ 
Lo hai già sgamato?
1 Like
Cosa penso? Che noi che facciamo questo lavoro saremo sempre un passo avanti lol. Scherzi a parte, il problema e’ che troppi devs fanno il loro lavoro senza adeguata preparazione in termini di sicurezza, e che troppe aziende danno priorita’ a features, features, features e lasciano la sicurezza come un afterthought. Le aziende dovrebbero investire nel formare i devs perche’ scrivano codice che sia coperto almeno per le vulnerabilita’ piu’ comuni, ma spesso questo non e’ il caso.
Per quanto riguarda l’ambito accademico penso dipenda dal contesto. Non ho idea di come le cose funzionino in Italia per esempio da quel punto di vista. Ti posso solo dire che la qualita’ del sistemi dal punto di vista della sicurezza non e’ elevata in Italia in generale, se fai il confronto con altri paesi, quindi probabilmente la preparazione che viene dallo studio non e’ un granche’. Per quanto riguarda preparazione accademica ti posso solo parlare dello UK dove ho vissuto molti anni prima e dove ho studiato alla Birkbeck di Londra, e ti posso dire che ci sono molti corsi, iniziative etc sulla sicurezza di buona qualita’. Io non finii l’universita’ perche’ ero incasinato col lavoro e comunque quei corsi erano base per me a quel punto, ma poi ho fatto diverse certificazioni in Offensive Security che ovviamente sono molto meglio di una qualunque laurea in queste materie. Anche qui in Finlandia l’universita’ di Helsinki per esempio ha dei corsi molto validi su sicurezza e ethical hacking. Mi pare che alcuni corsi siano accessibili anche dall’estero. Per esempio dai una occhiata a https://cybersecuritybase.mooc.fi/ se interessato.
No, non lo conosco
2 Likes
Ci cascano sempre
Fino al 2005-2008 mi sa che nei corsi universitari di informatica in ita non c’era nemmeno un corso a tema sicurezza, post riforma non so se sia migliorata la situazione.
Oltre alla formazione comunque spesso manca anche la mentalità agli sviluppatori che affrontare i temi di sicurezza non è una perdita di tempo o lavoro in più che non serve a nulla…
riforma?
si hanno fatto una riforma per “aumentare” i laureati. Hanno spezzato da 5 anni a 3+2, dove con 3 anni sei laureato e i +2 servono a fare una laurea “specialistica”. Non so se ora hanno corretto il tiro ma per i primi anni i nuovi corsi sono stati in pratica un taglio e semplificazione delle nozioni fornite.
Un po’ OT, non mi ricordo - e’ l’universita’ gratuita in Italia o si paga come in UK?
L’università può essere statale o privata.
In entrambi i casi si paga la retta.
Non ricordo nello specifico se solo per la statale o anche per la privata le rette vanno in base al reddito, o se nel caso delle private l’unico sussidio consista in eventuali borse di studio che si ottengono in base al merito.
OK. In Finlandia e’ tutto gratuito, propriio tutto. Voglio dire paghi per il pranzo ma costa pochissimo. Se hai bisogno di un loan e’ molto conveniente e se studi in una altra citta’ non tua c’e’ la possibilita’ di un piccolo stipendio per pagare l’affitto etc, anche se non sono aggiornato quindi non so se qualcosa e’ cambiato nel frattempo :)
1 Like
si ma non avete lu sole lu mare la pizza
2 Likes
Vero :(
Bilancio di oggi, 2 vulnerabilità riportate:
- CSRF a causa di improper token verification
- RCE via log poisoning chained con open file inclusion/path traversal (due vulnerabilità usate insieme). Questa mi è piaciuta. Per i curiosi: La web app consente di specificare in un parameter il path di un file PHP da includere nella pagina e da visualizzare senza validare il path, quindi mi lascia visualizzare i log di Apache. Il file incluso viene fatto parsing con PHP. Se invio requests con un system command nello user agent, questo viene loggato da Apache e dunque eseguito quando il log di Apache viene visualizzato quando lo includo → remote code execution → profit
la seconda la capisco, molto figa 
Già è proprio colpa dei devs…
classica situazione: Arriva il PM / TL / Salcazzo che ti dice “Stimami questo intervento!”, tu rispondi “Ok x tempo per l’analisi, y tempo per lo sviluppo, z tempo per il testing e sto anche largo per fare le cose per bene valutando tutti gli aspetti”. E la classica risposta è “Ok dovevamo consegnarlo ieri, ti do tempo fino a dopodomani” 
Qualche settimana fa ho sfruttato una variante, con SSH :) Il log che visualizzavo era auth.log, e per loggare il mio codice PHP lo usavo come username per la connessione SSH. “Solo” 2K reward perche’ era un programma che pagava non molto in generale.
1 Like
Intanto mi e’ stato accettato un altro report che avevo pending. Stored XSS
1 Like
Sto postando queste cose perche’ mi e’ sembrato che alcuni fossero interessati, ma se annoiano mi fermo :)