Insicurezza dei sistemi legati alle password: Fallen Dreams

Esistono molte tecniche 

Il “Path Traversal” (anche conosciuto come “Directory Traversal”) è una tipologia di attacco che sfrutta una vulnerabilità all’interno di una data applicazione (non sufficientemente protetta), per ottenere l’accesso  a determinati percorsi (path) nel filesystem, cioè a cartelle presenti nel disco che non dovrebbero, in realtà, essere accessibili a un utente non autorizzato. Per esempio, poniamo di avere l’alberatura di un server Web Apache e di trovarci nella directory radice del server Web stesso, nel nostro esempio /var/www/html. 

In una qualsiasi applicazione web che preveda l’utilizzo del GET è possibile in pochi passi arrivare al file delle password presente su un sistema linux; in pratica entrando nell dir /var/www/html, dopo aver avviato il servizio di apache2 e rinominando l’index.html e sostituendolo con un index.html malevolo, introducendo ad es il path dove risiede il passwd , si otterrebbe la visualizzazione delle password senza che l’utente se ne accorga.

Questa è una delle tante tecniche che si possono impiegare nel reperire informazioni legate all’identità di un utente. Una volta identificato l’utente e  come accedere per suo conto è sufficiente aggiungere un codice scritto, ad esempio in php, che può essere salvato in una dir qualunque ed essere richiamato da una pagine web. Il codice malevolo potrebbe studiare il sistema , accumulare informazioni legate ad accessi ad altri percorsi dove risiedono  altre informazioni ed in poco tempo l’utente sarebbe messo a nudo in assoluto silenzio. Ma come ci possiamo proteggere? Come si può prevenire attacchi del tipo Path Trasversal? Si può evitare di subire questi attacchi evitando di trasmettere dati di input ad API del filesystem. Pertanto l’applicazione convalida l’input dell’utente in una modalità completamente differente rispetto al passato , impiegando una metodologia che richiede l’ingresso non basata su utenza e password, ma solo attraverso un accreditamento biometrico. My-ID ( https://bit.ly/My-ID_la_chiave_sei_tu) potrebbe essere una risposta a questo tipo di attacco.

Il sistema prevede l’uso del riconoscimento biometrico Multi fattore ( un SSO) in cui non si necessita l’uso di una password, di un pin, di un token ( https://bit.ly/My-ID_passwordless)  : la formula per accedere al sistema prevede il riconoscimento di più fattori biometrici ( https://bit.ly/My-IDCheckIdentity).Pertanto My-ID è un innovativo metodo di accesso ai sistemi che non prevede la digitazione di informazioni ( https://bit.ly/My-ID_Biometric_Login), una piattaforma  applicabile ai sistemi IT per evitare il furto di identità.

CONDIVIDI

Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on email