Web Designer & Web Developer WordPress, SEO, HTML5, JQuery e molto altro. Piccoli articoli per grandi progetti!



nginx anti web scanner

undefined

Integrare codice anti web scanner all'interno del Nginx server

Come già citato in altri post la sicurezza nel Web è fondamantale.
Se usate CMS come Wordpress, uno dei web scanner più usati per verificare e analizzare tutti i tuoi dati e wpscan ottimo e semplice da usare.

In questo caso inseriremo un codice di blocco, anti web scanner per Nginx 
Nginx è uno dei server web più popolari al mondo. E 'in grado di gestire con successo carichi elevati con molte connessioni client simultanee, e può facilmente funzionare come un server web garantisce veocità e sicurezza.

Ma dovremmo anche aggiungere delle piccole accortezze ;-)

codice da inserire all'interno del nginx.conf per impedire che wpscan,nikto,dirbuste,webshag,libwhisker,sqlmap e altri software possano essere attivi...

===================================================================================

if ($http_user_agent ~* (^w3af.sourceforge.net|dirbuster|nikto|wpscan|SF|sqlmap|fimap|nessus|whatweb|Openvas|jbrofuzz|libwhisker|webshag)) {
    return 444;
}


if ($http_acunetix_product) {
    return 444;
}

===================================================================================

Mozilla Observatory

Mozilla Observatory

Mozilla Observatory, verifica la sicurezza del tuo sito

Proteggere il proprio sito deve essere la prima preoccupazione di qualsiasi amministratore di sistema!

Essere informati sulle tipologie di attacchi e sulle misure preventive ha ormai un’importanza fondamentale, anche perché è solo tramite una continua formazione che è possibile precedere i tentativi di attacco.

Inoltre, dopo tutte le preoccupazioni e azioni intraprese per proteggere il proprio sito, è fondamentale comunicarlo ai propri visitatori.

Configurare correttamente una connessione HTTPS è importante, ma può non essere sufficiente per dire che un sito è sicuro.
A questo proposito Mozilla ha creato una nuova piattaforma chiamata Mozilla Observatory.

Mozilla Observatory è una piattaforma open source da qualche mese disponibile online.

Questa piattaforma permette di testare gratuitamente la sicurezza di qualsiasi sito web e il suo utilizzo è molto semplice.
Le prove che vengono effettuate sono:

Mozilla Observatory è una piattaforma open source da qualche mese disponibile online.

Questa piattaforma permette di testare gratuitamente la sicurezza di qualsiasi sito web e il suo utilizzo è molto semplice.
Le prove che vengono effettuate sono:

  • Content Security Policy
  • Cookies
  • Cross-origin Resource Sharing
  • HTTP Public Key Pinning
  • HTTP Strict Transport Security
  • Redirectiol
  • Subresource Integrity
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

In base al risultato, al il sito web o alla pagina inseriti verrà associato un punteggio e un voto.

Fonte: www.shellrent.com

 

htaccess vs web scanners

undefined

Sicurezza via .htaccess contro web scanner Wpscan

La sicurezza nel web non è mai abbastanza, sopratutto se abbiamo la tendenza di usare CMS gratuiti e di largo uso come Wordpress, Joomla, Drupal e altri ancora.

Prendiamo in considerazione come esempio WPScan web scanner dedicato creato per analizzare e cercare falle di sicurezza all'interno della piattaforma di blogging WordPress.

Premesso che le strade dell' hacking sono infinite nulla è veramente a prova di mal intenzionati, possiamo però provare a rendere più sicuri o almeno rendere più impegnativa l'intrusione.

Aggiungendo queste righe all'interno del nostro file .htaccess faremo in modo di dirottare una serie di web scanner w3af.sourceforge.net, dirbuster, nikto, wpscan...

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^w3af.sourceforge.net [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wpscan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} SF [OR]
RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR]
RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwhisker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR]
RewriteCond %{HTTP:Acunetix-Product} ^WVS
RewriteRule ^.* http://127.0.0.1/ [R=301,L]

attraverso un redirect a questo link http://127.0.0.1/ (a vostra scelta) ...Nella speranza che questo basti ;-)

 

Salva

Parrot Security OS "Parrot" sicurezza Hacking

undefined

Parrot Security OS sicurezza Hacking made in Italy

L'artefice di questa distribuzione per la sicurezza Hacking è Lorenzo Faretra (Eclipsespark) tutta made in Italy
Parrot Security OS, detta più semplicemente sembra essere una delle distribuzioni più promettenti per il futuro prossimo, tutta da testare e da verificare di persona visto i numerosi  fedelissimi che si avvicinano a quasta distribuzione.
Basata Debian linux, offre un ambinete di lavoro intuitivo completo e funzionale.

Nel sito madre si possono scaricare le versioni compatibili:
www.parrotsec.org

Vi segnalo anche: Frozenbox è un network italiano dedicato alla Hacking, Sicurezza informatica e programmazione.

www.frozenbox.org

Nella versione Full ci sono un numero abnorme di tool pronti all’uso, oltre a Anonsurf, penmode e programmi di crypting.
Non resta che scaricare la ISO!

Email Address Encoder JQuery

Come rendere invisibili le nostre email con jQuery

Abbiamo sempre più la neccessità di nascondere la nostra email da eventuali spam o frodi informatiche.
Questa potrebbe essere una soluzione:  (adattabile anche all'interno del nostro wordpress)

Questo e il nostro codice html:

<a href="mailto:me@mysite.com"&gtme@mysite.com</a>

Adesso andremo a lavorare con JQuery:

<a href="#"> <span id="my-email">please enable javascript to view</span></a>

a seguire il nostro script:

$('#my-email').html(function(){
	var e = "me";
	var a = "@";
	var d = "mysite";
	var c = ".com";
	var h = 'mailto:' + e + a + d + c;
	$(this).parent('a').attr('href', h);
	return e + a + d + c;
});

Tails privacy per chiunque ed ovunque

 

undefined

Tails è un sistema operativo "live", che si può usare a qualsiasi computer Mac, Pc, Linux, sia  da un DVD, chiavetta USB o scheda SD.
Nato per essere 100% anonimo e invisibile sul web:

  • Utilizzare Internet in modo anonimo e aggirare la censura;
  • Tutte le connessioni a Internet sono costrette a passare attraverso la rete Tor;
    lasciare alcuna traccia sul computer che si sta utilizzando a meno che non si chiede in modo esplicito;
  • Utilizzare state-of-the-art strumenti di crittografia per crittografare i file, e-mail e instant messaging.

Questo e il link del sito istituzionale: tails.boum.org

Per scaricare l'immagine ISO questo è il link:bit.ly/1nXBMXO
PS. Se usiamo Firefox dovremmo installare un plugin... tutto regolare. Nel sito potete trovare con molta semplicità tutte le istruzioni.

Wpscan brute force

 

kali linux brute force wordpress login Using wpscan.

WPScan è un tool reperibile online che permette a chi lo utilizza di ricavare diverse informazioni sull’ installazione wordpress che si andrà a scansionare. Lo script può essere utile sia all’ amministratore del sito che cerca una maggiore sicurezza, sia al malintenzionato che tenta di trovare un punto di accesso all’installazione.

Vulnerabilità in WordPress con WPScan

undefined

WPScan è un web scanner

WPScan è un web scanner dedicato creato per analizzare e cercare falle di sicurezza all’interno della piattaforma di blogging WordPress, non è complesso ma molto efficace.

WPScan è sviluppato principalmente per piattaforme Linux (Kalilinux) ma è possibile sfruttarlo anche su macchine con sistema Mac OS X e Windows.

Lo strumento WPScan contiene un database e degli algoritmi particolari che permettono di eseguire delle azioni di enumerazione, controlli di vulnerabilità conosciute, attacchi su password a dizionario, etc, etc. Possiamo lanciare l’analisi di questo strumento verso un nostro sito di test o anche di produzione per verificare tutte le informazioni che un programma di scansione può ottenere e quindi reagire di conseguenza.

Un piccolo esemipo descrittivo dei comandi:

--update Update the database to the latest version.
--url | -u <target url> The WordPress URL/domain to scan.
--force | -f Forces WPScan to not check if the remote site is running WordPress.
--enumerate | -e [option(s)] Enumeration.
option :
u usernames from id 1 to 10
u[10-20] usernames from id 10 to 20 (you must write [] chars)
p plugins
vp only vulnerable plugins
ap all plugins (can take a long time)
tt timthumbs
t themes
vt only vulnerable themes
at all themes (can take a long time)
Multiple values are allowed : "-e tt,p" will enumerate timthumbs and plugins
If no option is supplied, the default is "vt,tt,u,vp"

--exclude-content-based "<regexp or string>"
Used with the enumeration option, will exclude all occurrences based on the regexp or string supplied.
You do not need to provide the regexp delimiters, but you must write the quotes (simple or double).
--config-file | -c <config file> Use the specified config file, see the example.conf.json.
--user-agent | -a <User-Agent> Use the specified User-Agent.
--cookie <String> String to read cookies from.
--random-agent | -r Use a random User-Agent.
--follow-redirection If the target url has a redirection, it will be followed without asking if you wanted to do so or not
--batch Never ask for user input, use the default behaviour.
--no-color Do not use colors in the output.
--wp-content-dir <wp content dir> WPScan try to find the content directory (ie wp-content) by scanning the index page, however you can specified it.
Subdirectories are allowed.
--wp-plugins-dir <wp plugins dir> Same thing than --wp-content-dir but for the plugins directory.
If not supplied, WPScan will use wp-content-dir/plugins. Subdirectories are allowed
--proxy <[protocol://]host:port> Supply a proxy. HTTP, SOCKS4 SOCKS4A and SOCKS5 are supported.
If no protocol is given (format host:port), HTTP will be used.
--proxy-auth <username:password> Supply the proxy login credentials.
--basic-auth <username:password> Set the HTTP Basic authentication.
--wordlist | -w <wordlist> Supply a wordlist for the password brute forcer.
--username | -U <username> Only brute force the supplied username.
--usernames <path-to-file> Only brute force the usernames from the file.
--threads | -t <number of threads> The number of threads to use when multi-threading requests.
--cache-ttl <cache-ttl> Typhoeus cache TTL.
--request-timeout <request-timeout> Request Timeout.
--connect-timeout <connect-timeout> Connect Timeout.
--max-threads <max-threads> Maximum Threads.
--throttle <milliseconds> Milliseconds to wait before doing another web request. If used, the --threads should be set to 1.
--help | -h This help screen.
--verbose | -v Verbose output.
--version Output the current version and

Visitate il sito ufficiale:

http://wpscan.org/

Home