WebSecurity-ITA-2009

A training course I wrote on Web Security, Exploit Development and Source Code Auditing In January 2009.

Keep in mind that this course has never been updated and has remained untouched ever since it was completed 13 years ago, it is also written in Italian.

Whilst not all the material is still relevant today (RFI, LFI log poisoning), most of the other vulnerability classes presented still are.

Publishing it as "Safe Keeping" for Memorabilia/Nostalgia days.

Index

• Web Security
• Indice
• Prefaccia
• Vulnerabilità degli Include/Require
  • Remote File Inclusion
    • Analisi di codice
    • Sfruttare la falla
    • Prevenzione
  • Local File Inclusion (LFI)
    • Analisi di codice
    • Sfruttare la falla
    • Prevenzione
• Vulnerabilità di tipo SQL Injection
  • Union-based SQL Injection
  • Blind SQL Injection
  • Live SQL Injection Auditing
  • Prevenzione
• Vulnerabilità legate al Logging
  • Authority Bypass via SQLi
    • Prevenzione
  • Insecure Cookie Handling (ICH)
    • Prevenzione
• Arbitrary File Upload
  • Analisi di codice
  • Sfruttare la falla
    • Content-type bypass
    • Nascondere codice PHP in una immagine valida
  • Prevenzione
• Vulnerabilità di tipo Cross Site Scripting (XSS)
  • Permanent Cross-Site Scripting
  • Reflected Cross-Site Scripting
  • Exploiting XSS con Token Stealing
  • Prevenzione
• Remote Command Execution (RCE)
  • Analisi di codice
    • Caso "Diretto" di RCE
    • Casi "Indiretti" di RCE
  • Sfruttare la falla
    • Caso "Diretto" di RCE
    • Casi "Indiretti" di RCE
  • Prevenzione
    • Caso "Diretto" di RCE
    • Casi "Indiretti" di RCE
• Vari Exploit e Spiegazioni
  • LinPHA Photo Gallery RCE
  • phosheezy RCE
  • PhotoStand RCE
  • Da SQL Injection A RCE
• Conclusione

Content

The content is available in the Wiki page.