Come raccontavo nell’ultimo VLOG ho iniziato a dedicare degli slot di tempo a sessioni di studio condiviso sul mio server Discord (vedi VLOG per le motivazioni del passaggio da Twitch a Discord).
Lo scorso venerdi’ abbiamo iniziato con qualche esercizio base del path “Server-side vulnerabilities”, abbiamo fatto 90 min. di giochetti. Nello stesso path gli ultimi tre temi riguardano:
- File upload vulnerability
- OS command injection
- SQL injection
Siamo sempre nel contesto degli esercizi base ed il percorso e’ spesso basato su piccoli script PHP vulnerabili. Ho pensato di arricchire leggermente i prossimi lab senza complicarci troppo la vita: lato Academy seguiamo gli esercizi che ci propone PortSwigger e per ogni script vulnerabile proviamo a scrivere la versione corretta (in PHP o Python).
Per predisporre il lab serve veramente poco, basta installare e configurare sulla propria linux-box un semplice Apache2 con PHP e MariaDB cosi’ da avere un web-server comodo su cui posizionare i script vulnerabili.
Per gli update sulle prossime sessioni di studio seguite gli eventi sul server Discord o il gruppo Telegram.