• Black Hat USA 2014

    Si terrà dal 2 al 7 Agosto 2014 la 17esima edizione della conferenza “Black Hat”. A fare da cornice, come sempre, la vivissima città di Las Vegas (USA). Fra i talk di quest’anno troviamo: 48 Dirty Little Secrets Cryptographers Don’t Want You To Know Cellular Exploitation on a Global Scale: The Rise and Fall of […]

  • Data destruction for fun and idiocy

    We all know that the best way to destroy data on a hard drive is to use “shred” (with random, at least 11 passes and bla bla bla). But, seriously, who will wait 160 hours to shred 1 TB filesystem of porn and dump??? If you’re wondering, no, this is not a real research! Let’s do […]

  • CTF365, un nuovo modo di fare hacking

    Cosa è un CTF: CTF è l’acronimo di Capture The Flag (cattura la bandiera). Molti gamers lo assoceranno ad un videogioco con personaggi 3D, in realtà si tratta di una sfida intellettuale che richiede al partecipante di scovare bugs (flags) all’interno di un sistema informatico, sfruttarli e fare punto. Non si discosta molto dal classico […]

  • Essere pagati per il calcolo distribuito, l’ambizione di Coin Generation

    Il motto di Coin Generation è “A smarter way to use your PC” (Il modo più intelligente di usare il tuo PC). Si tratta di un sito che si occupa di fare calcolo distribuito pagando ogni singolo partecipante. Cosa è il calcolo distribuito? Il calcolo distribuito è un campo dell’informatica che studia i sistemi distribuiti. Un sistema distribuito consiste […]

  • Nasce PoC Corner, dove i PoC diventano Exploit

      Si chiama Proof of Concept Corner il nuovo progetto di IHTeam. Si tratta di un forum (in pieno stile old-school) dov’è possibile contribuire allo sviluppo di exploit partendo da advisory e PoC. L’idea è nata per pura necessità: non so se vi è mai capitato di dover sfruttare una blind sql injection partendo da […]

Previous Next
Posted by On luglio - 3 - 2014 0 Comment

Il CSAW CTF ritorna il 19-21 Settembre 2014. Nato ben 10 anni fa come piccola competizione locale, oggi (grazie anche alla sponsorizzazione della New York University) è una competizione world-wild aperta a tutti gli studenti (e non) che si volgiono cimentare in attacchi informatici simulati. Nel 2013 ho partecipato a questo divertentissimo CTF e lo ritengo molto ben fatto (ad eccezione della categoria “Recon” che […]

Posted by On giugno - 30 - 2014 0 Comment

Si terrà dal 2 al 7 Agosto 2014 la 17esima edizione della conferenza “Black Hat”. A fare da cornice, come sempre, la vivissima città di Las Vegas (USA). Fra i talk di quest’anno troviamo: 48 Dirty Little Secrets Cryptographers Don’t Want You To Know Cellular Exploitation on a Global Scale: The Rise and Fall of the Control Protocol Android FakeID Vulnerability Walkthrough How Smartcard Payment […]

Posted by On febbraio - 19 - 2014 0 Comment

Simple and minimal interface to exploit Cross Site Request Forgery (CSRF / XSRF) vulnerability. Is possible to add as many parameters as you want. Is possible to choose the method (GET or POST) Is possible to insert a landing page (to track victim’s click) You can choose between 2 different output: HTML (You should add a HTML structure around this output – http://www.w3.org/TR/WD-html40-970708/struct/global.html ) JQuery (You should […]

Posted by On febbraio - 6 - 2014 2 Comments

We all know that the best way to destroy data on a hard drive is to use “shred” (with random, at least 11 passes and bla bla bla). But, seriously, who will wait 160 hours to shred 1 TB filesystem of porn and dump??? If you’re wondering, no, this is not a real research! Let’s do it our way! Remove the label (that to keep out dust) […]

Posted by On novembre - 25 - 2013 0 Comment

Cosa è un CTF: CTF è l’acronimo di Capture The Flag (cattura la bandiera). Molti gamers lo assoceranno ad un videogioco con personaggi 3D, in realtà si tratta di una sfida intellettuale che richiede al partecipante di scovare bugs (flags) all’interno di un sistema informatico, sfruttarli e fare punto. Non si discosta molto dal classico concetto dei videogiochi in 3D: bisogna sempre invade il territorio […]

Posted by On novembre - 13 - 2013 2 Comments

Il motto di Coin Generation è “A smarter way to use your PC” (Il modo più intelligente di usare il tuo PC). Si tratta di un sito che si occupa di fare calcolo distribuito pagando ogni singolo partecipante. Cosa è il calcolo distribuito? Il calcolo distribuito è un campo dell’informatica che studia i sistemi distribuiti. Un sistema distribuito consiste in tanti e autonomi computer che comunicano attraverso una rete. I computer interagiscono […]

Posted by On giugno - 14 - 2013 0 Comment

  Si chiama Proof of Concept Corner il nuovo progetto di IHTeam. Si tratta di un forum (in pieno stile old-school) dov’è possibile contribuire allo sviluppo di exploit partendo da advisory e PoC. L’idea è nata per pura necessità: non so se vi è mai capitato di dover sfruttare una blind sql injection partendo da un advisory che riportava solo “variabile=[BLIND]“… Un po’ generico, no? […]

Posted by On maggio - 28 - 2013 0 Comment

Questa mattina stavo facendo un po’ di ordine fra le cartelle, quando ho trovato i dati di accesso di un vecchio sito hostato su altervista. Fra le varie directory su FTP, ce n’era una chiamata “BH”…   A volte i server FTP sono un po’ come quei cassetti dove si mettono le lettere d’amore che non leggiamo più da anni… Ma che, quando si riaprono, […]

Posted by On maggio - 21 - 2013 0 Comment

Il sito di groupon India era affetto da una misconfiguration che consentiva di visionare il codice sorgente della pagina PHP. E’ apparsa il 12 Maggio 2013 sul blog di Ranger’s logs l’incredibile, per quanto stupida, scoperta fatta da questo appassionato di tecnologia. Si tratta di una misconfiguration sul livello di verbose del webserver in caso di errore. Il metoto usato per mandare in errore il […]

Posted by On maggio - 11 - 2013 0 Comment

Lo scopo della ricerca dell’ Internet Census 2012 (AKA Carna Botnet) è quello di effettuare un portscan su tutta la rete IPv4 mondiale (1.1.1.1 – 255.255.255.254). Il progetto partì due anni fa quando gli autori, giocando con gli NSE (Nmap Scripting Engine), videro che c’era una quantità importante di dispositivi embedded in ascolto sulla 23 (telnet) che avevano username e password di default (root:root). Questo gli concesse di avviare […]