Aumentiamo la sicurezza di TYPO3
Relatore: Mauro Lorenzutti
Informazioni Relatore
CTO di Webformat srl, Mauro Lorenzutti è TYPO3 certified integrator dal 2009 ed opera con questo cms dal 2003. Membro attivo della community, è uno sviluppatore impegnato nella realizzazione e nel mantenimento di numerose estensioni (su tutte il wfqbe e l'extendedshop). Le numerose consulenze svolte come sviluppatore TYPO3 si sono incentrate su progetti di medio-grandi dimensioni quali, fra le altre, quelle condotte per l’ISTAT, l’Amministrazione Cantonale del Ticino ed il Ministero dell'Interno.
Esperienza TYPO3
Sviluppatore e consulente TYPO3 dal 2003, autore di numerose estensioni tra cui extendedshop e wfqbe.
Abstract
Garantire la sicurezza al 100% del proprio sito internet non è possibile, ma almeno rendiamo la vita il più difficile possibile a chi vuole “giocare” a fare l’hacker! In questo talk verranno quindi introdotti alcuni importanti aspetti per mettere in sicurezza la propria installazione TYPO3 e per sviluppare estensioni TYPO3 in modo sicuro.
Il talk sarà suddiviso in due parti:
- nella prima verranno introdotte le principali tipologie di attacchi ad applicazioni web (dalle classiche SQL Injection e Cross-Site-Scripting alle meno note, ma pur sempre diffuse, Unrestricted File Upload o la Session Fixation) e le modalità su come difendersi quando si sviluppano estensioni TYPO3
- nella seconda parte, invece, verranno illustrati alcuni trucchi per aumentare la sicurezza del proprio sito TYPO3.
Durante il talk verranno fatte delle dimostrazioni pratiche su come sfruttare alcune delle vulnerabilità presentate per accedere ad informazioni riservate o per eseguire codice maligno sul server del sito.
Sarà infine presentato il corretto modo di procedere nel caso si scopra una vulnerabilità nel core di TYPO3 o in un’estensione presente nel repository pubblico, per salvaguardare la propria sicurezza ma anche quella degli altri! Non saranno oggetto di questo talk le configurazioni del sistema operativo, di apache, php, mysql e di eventuali firewall ma ci concentreremo unicamente sulla sicurezza applicativa di TYPO3.
