Pianificazione assesment di sicurezza

[profmancusoa]

• determinare la lista delle possibili vulnerabilità di sicurezza che SARP potrebb eessere soggetto
• creazione degli streumenti (script, programmi, ect) necessari per testare la sicurezza di SARP
• definizione pe rogni test di sicurezza dell'esito atteso

[Andrea-Canale]

Dobbiamo testare le seguenti vulnerabilità, secondo me:

• XSS, soprattutto negli inserimenti delle tabelle
• Directory traversal quando useremo il web server che sveltekit produce con il node-adapter(presumo che useremo quello)
• SQL Injection non penso sia da controllare considerando che usiamo prisma che dovrebbe avere una validazione degli input integrata
• Implementare tecniche per ridurre i dos, ad esempio con dei campi di verifica captcha dove necessario
• Upload di payload sul server attraverso i form

Poi vorrei scrivere un semplice anti ddos che controlli se ci sono attacchi in corso e magari monitori anche il server. Infine per quanto riguarda il server sarà necessario configurarlo in maniera corretta per quanto riguarda il firewall per bloccare verso l'esterno le porte non necessarie e tenere aperte HTTP(S) ed eventualmente SSH anche se preferirei usare una VPN per connettersi al server per aumentare la sicurezza, anche se probabilmente inutile

[profmancusoa]

Ok tutto Il ddos direi di non scriverlo, non potremo mai fare meglio di nginx 😁

Iniziate con @Emanule-Furina a creare un test Plan (cioè una lista di test ufficiali)

Direi che il wiki e' perfetto per descrivere il tutto. Vi nomino Responsabili della sezione security

Coinvolgi Furina per favore. Per te e' utile farlo insieme a lui

Grazie

Il sab 26 nov 2022, 11:30 Andrea Canale @.***> ha scritto:

Dobbiamo testare le seguenti vulnerabilità, secondo me:

• XSS, soprattutto negli inserimenti delle tabelle
• Directory traversal quando useremo il web server che sveltekit produce con il node-adapter(presumo che useremo quello)
• SQL Injection non penso sia da controllare considerando che usiamo prisma che dovrebbe avere una validazione degli input integrata Poi vorrei scrivere un semplice anti ddos che controlli se ci sono attacchi in corso e magari monitori anche il server

— Reply to this email directly, view it on GitHub https://github.com/ittagnelli/SARP/issues/37#issuecomment-1328021275, or unsubscribe https://github.com/notifications/unsubscribe-auth/A2QKPKSXQC3GA5TRUYEJRNDWKHRELANCNFSM6AAAAAASLP7CMI . You are receiving this because you authored the thread.Message ID: @.***>

[Andrea-Canale]

Ma Nginx prevede un anti-ddos ufficiale? Ho solo trovato dei plugin della community che hanno una funzione simile

[Andrea-Canale]

Lista di test:

• Directory traversal userei dirb(https://www.kali.org/tools/dirb/), l'ho provato diverse volte e funziona molto bene
• Per XSS userei playwright che è fornito con sveltekit
• Upload di payload farei uno script con la bash usando curl oppure usiamo python

@Emanuele-Furina Hai altro da aggiungere? Esistono tool fatti bene per gli attacchi XSS che tu conosca? Quelli forniti da Kali sinceramente non mi piacciono per come sono strutturati.

@profmancusoa per le policy del firewall facciamo uno script in bash?

[profmancusoa]

Cosa intendi ufficiale? Nginx e' open source Comunque possiamo chiedere ad uno di F5 che fai l'architect sul prodotto nginx

Il sab 26 nov 2022, 13:46 Andrea Canale @.***> ha scritto:

Ma Nginx prevede un anti-ddos ufficiale? Ho solo trovato dei plugin della community che hanno una funzione simile

— Reply to this email directly, view it on GitHub https://github.com/ittagnelli/SARP/issues/37#issuecomment-1328040329, or unsubscribe https://github.com/notifications/unsubscribe-auth/A2QKPKQFA7FSTS6FKARMWPTWKIBEBANCNFSM6AAAAAASLP7CMI . You are receiving this because you authored the thread.Message ID: @.***>

[profmancusoa]

Si fa anche a livello iptables

Il sab 26 nov 2022, 15:02 Antonio Mancuso @.***> ha scritto:

Cosa intendi ufficiale? Nginx e' open source Comunque possiamo chiedere ad uno di F5 che fai l'architect sul prodotto nginx

Il sab 26 nov 2022, 13:46 Andrea Canale @.***> ha scritto:

Ma Nginx prevede un anti-ddos ufficiale? Ho solo trovato dei plugin della community che hanno una funzione simile

— Reply to this email directly, view it on GitHub https://github.com/ittagnelli/SARP/issues/37#issuecomment-1328040329, or unsubscribe https://github.com/notifications/unsubscribe-auth/A2QKPKQFA7FSTS6FKARMWPTWKIBEBANCNFSM6AAAAAASLP7CMI . You are receiving this because you authored the thread.Message ID: @.***>

[profmancusoa]

Guardate https://owasp.org/

Il riferimento ufficiale.

Il sab 26 nov 2022, 14:54 Andrea Canale @.***> ha scritto:

Lista di test:

• Directory traversal userei dirb(https://www.kali.org/tools/dirb/), l'ho provato diverse volte e funziona molto bene
• Per XSS userei playwright che è fornito con sveltekit
• Upload di payload farei uno script con la bash usando curl oppure usiamo python

@Emanuele-Furina https://github.com/Emanuele-Furina Hai altro da aggiungere? Esistono tool fatti bene per gli attacchi XSS che tu conosca? Quelli forniti da Kali sinceramente non mi piacciono per come sono strutturati.

@profmancusoa https://github.com/profmancusoa per le policy del firewall facciamo uno script in bash?

— Reply to this email directly, view it on GitHub https://github.com/ittagnelli/SARP/issues/37#issuecomment-1328050723, or unsubscribe https://github.com/notifications/unsubscribe-auth/A2QKPKWA3TITJMESIX7US5LWKII7RANCNFSM6AAAAAASLP7CMI . You are receiving this because you were mentioned.Message ID: @.***>

[Emanuele-Furina]

Per quanto riguarda la lista dei test non ho nulla da aggiungere.

@Andrea-Canale per gli attacchi XSS ho usato diverse volte XSStrike (https://github.com/s0md3v/XSStrike) e mi sono trovato bene.

[Andrea-Canale]

Stavo pensando che potrebbe essere utile utilizzare Dependabot per tracciare gli aggiornamenti delle dipendenze che a lungo termine potrebbero essere afflitte da vulnerabilità

[Andrea-Canale]

@Emanuele-Furina Facciamo che io completo la issue #42 riguardante gli header e tu fai gli script per risolvere questa?

[Emanuele-Furina]

@Andrea-Canale scusa se ti rispondo solo adesso, per me va bene

[profmancusoa]

come procede?

[Emanuele-Furina]

Per quanto riguarda la creazione degli script/programmi sto avendo un po' di difficoltà, ho provato a creare un paio di script ma senza successo, purtroppo non riesco a procedere oltre

[Emanuele-Furina]

Mi potrebbe suggerire un modo per proseguire?

[profmancusoa]

@Emanuele-Furina che problemi hai esattamente?

L'issue è assegnata anche ad @Andrea-Canale. Lavorateci insieme per cortesia.

Serve la documentazione dell'approccio ai test di sicurezza, una lista di cosa testiamo gli script per fare i test di sicurezza

grazie

[Emanuele-Furina]

I problemi che mi impedivano di procedere li ho in parte risolti, principalmente erano problemi riguardanti delle richieste GET. Al momento ho terminato lo script per testare gli XSS, l'unica pecca è che ha delle funzionalità basilari.

[profmancusoa]

• Ho la VM per fare il deploy di SARP
• Quest asettimana faccimao il deployment e possiamo iniziare a fare i test di sicurezza.
• la lista di test al momento include 5 test, mi paiono un pò pochini
• @Emanuele-Furina e @Andrea-Canale aspetto la PR con gli script per il penetration test

[profmancusoa]

ok una serie di script è stata creata chiudo questa issue

ora bisogna eseguire i test ed aprire eventuali nuove issue