Penetration Test

Come Creare Wordlist in Italiano per Penetration Testing e Red Teaming

Come Creare Wordlist in Italiano per Penetration Testing e Red Teaming

Perché Questo Progetto? Durante i penetration test black-box su applicazioni web, mi sono reso conto che le wordlist standard, solitamente in inglese o in altre lingue, non sono sempre adatte al contesto italiano. Così ho pensato all’utilità di avere delle liste di username e password più specifiche per l’italiano, evitando di fare affidamento su credenziali troppo comuni, come quelle presenti nelle raccolte note (SecLists e simili), che contengono comunque validissime wordlist utilizzabili in tantissime situazioni diverse....

Pubblicato il 20/02/2025 · 9 min · 1806 words · Astaruf
Appunti di un pentester: cheatsheet e strategie per OSCP

OSCP, Appunti di un Pentester

Affrontare l’esame OSCP di OffSec è una sfida complessa che richiede non solo discrete competenze tecniche, ma anche una grande capacità di organizzazione mentale. Durante la mia preparazione, mi sono reso conto di quanto fosse difficile ricordare a memoria ogni singolo comando, la sintassi dei vari linguaggi o i parametri dei numerosi tool da riga di comando utilizzati nel penetration testing. Per questo motivo, ho deciso di mettere nero su bianco tutto ciò che ritenevo essenziale, creando un sistema di appunti strutturato che mi permettesse di ritrovare rapidamente le informazioni necessarie....

Pubblicato il 10/05/2023 · 3 min · 459 words · Astaruf
Vulnerabilità CVE in PwnDoc sfruttando messaggi di risposta differenti durante l'autenticazione

PwnDoc <= 0.5.3 - Username Enumeration via Different Responses (CVE-2022-44023)

Dettagli CVE PwnDoc fino alla versione 0.5.3 consente agli attaccanti remoti di identificare i nomi utente di account disabilitati sfruttando i messaggi di risposta durante i tentativi di autenticazione. Riepilogo della Vulnerabilità Prodotto CVE Punteggio CVSSv3 CWE PwnDoc CVE-2022-44023 5.3 (Medio) CWE-307 Passaggi di Sfruttamento Questa vulnerabilità consente l’enumerazione dei nomi utente degli account disabilitati in PwnDoc (testato sulla versione 0.5.3 - 2022-07-19) osservando le risposte del server ai tentativi di login....

Pubblicato il 29/10/2022 · 2 min · 227 words · Astaruf
Vulnerabilità CVE in PwnDoc sfruttando i tempi di risposta durante l'autenticazione

PwnDoc <= 0.5.3 - Username Enumeration via Response Timings (CVE-2022-44022)

Dettagli CVE PwnDoc fino alla versione 0.5.3 consente agli attaccanti remoti di identificare i nomi utente validi sfruttando i tempi di risposta durante i tentativi di autenticazione. Riepilogo della vulnerabilità Prodotto CVE Punteggio CVSSv3 CWE PwnDoc CVE-2022-44022 5.3 (Medio) CWE-307 Passaggi di sfruttamento Questa vulnerabilità consente l’enumerazione degli utenti in PwnDoc (testato sulla versione 0.5.3 - 2022-07-19 e precedenti) osservando i tempi di risposta del server web durante i tentativi di accesso....

Pubblicato il 29/10/2022 · 1 min · 148 words · Astaruf