Archive for ottobre 2021
Atom , l’editor di testo e IDE hackerabile
Io da decenni uso oltre a Visual Studio per le applicazioni Desktop, Notepad ++ per lavorare sui file PHP e sui DUMP Sql.
Per avere maggiore velocità di sviluppo ed efficienza, sono disponibile a provare altri Ide, che siano facili, veloci e anche potenti.
In questo articolo voglio provare a usare quindi questo Ide e vedremo se soddisferà le mie esigenze. (anche se poi in futuro ne costruirò uno mio, ma vedremo…)
Vediamo prima cosa è Atom e le sue caratteristiche principali.
Atom è un editor di testo e IDE open source e sviluppato da GitHub, rilasciato nel 2014. Esso è basato su Chromium ed è scritto in CoffeeScript, il che gli permette di essere eseguito su qualsiasi piattaforma supportata da Chromium.
Una delle sue caratteristiche principali è la possibilità di sviluppare pacchetti utilizzando Node.js. Atom possiede inoltre supporto al sistema di controllo di versione Git.
La maggior parte dei pacchetti che lo compongono fanno uso di licenze software open source. Ciò consente alla comunità di partecipare attivamente al suo sviluppo. A giugno 2015, anche se ancora in fase beta, conta più di 350.000 utenti che lo utilizzano regolarmente.
Gli sviluppatori di Facebook hanno sviluppato un editor per uso interno a partire da una versione modificata di Atom, rilasciato poi open-source con il nome di Nuclide. Microsoft, Docker e altre aziende hanno adottato per alcuni loro prodotti Electron, il componente alla base di Atom.
Vediamo adesso l’installazione e proveremo a scrivere del codice per vedere come funziona.
Il sito ufficiale è https://atom.io/ e il link per il download è: https://atom.io/download/windows_x64
Una volta scaricato il Setup, lo lanciamo. La prima schermata che ci sarà mostrata sarà questa:
Finita l’installazione sarà questa la schermata principale.
Apriamo un progetto, possiamo farlo anche selezionando una cartella.
Seleziono un gestionale sviluppato in PHP per un mio cliente. Ecco cosa ci apparirà:
E’ bello avere tutti i file in una sola visualizzazione, cosa che Notepad++ non fa.
Facendo doppio clic su un file si aprirà il file, pronto per essere editato:
Ha anche l’intellisense.
Per essere eseguito, il file PHP ha bisogno dell’interprete PHP e quindi di un Web Server locale.
Nel salvataggio del file però non c’è la lista dei tipi di file come su Notepad ++ e avendo nell’editor un file HTML non ho la possibilità di vederlo all’interno del browser.
Queste sono le prime cose che ho visto e per ora non diventerà il mio editor principale per lavorare sui progetti Web.
Alla prossima.
Leggi l'articolo intero | Make a Comment ( None so far )Attivazione di IPV6
Oggi voglio vedere se sul mio router di Fastweb è attivo IPV6 e nel caso lo attivo.
Non vi parlerò di cosa è IPV6, al massimo farò un altro articolo.
Facciamo dei test su http://test-ipv6.com/
Una volta entrati sulla ex My Fast Page, andiamo su https://fastweb.it/myfastweb/servizi-fastweb/altri-servizi/ipv6/
Che delusione.
Comunque potete provare voi ad attivarla sulla vostra linea. Più o meno le indicazioni sono uguali da provider a provider.
Dovete accedere al vostro router via http e quindi trovare IPV6.
Io invece contatterò l’assistenza e ci faremo quattro risate.
Vi terrò aggiornati.
Leggi l'articolo intero | Make a Comment ( None so far )Scopriamo BackBox
In questo articolo vedremo cosa è Backbox e come usarlo.
BackBox è una distribuzione GNU/Linux derivata da Ubuntu, progettata per eseguire penetration test e vulnerability assessment and mitigation fornisce un insieme di strumenti che facilitano l’analisi di reti e sistemi informatici. Essa integra in un ambiente desktop completo tutti gli strumenti necessari ad un ethical hacker per eseguire vari test di sicurezza.
Quando si parla di sicurezza, è doveroso fare una premessa, un disclaimer.
E’ vietato in Italia attaccare reti non proprie, senza il permesso di chi gestisce quella rete.
L’obiettivo principale è quello di offrire un sistema alternativo, estremamente flessibile e performante, con un desktop manager completo ma minimale.
BackBox Linux usa XFCE come ambiente desktop predefinito. Al suo interno sono installati una ricca selezione di tools, indispensabili per l’analisi dei sistemi, di applicazioni, di reti e per attività legate alla computer forensics (Informatica forense).
Lo sviluppo e l’integrazione dei vari programmi all’interno della distribuzione segue i criteri della Debian Free Software Guide Lines.
BackBox include oltre 200 tools, tra i quali:
Metasploit/Armitage
Nmap
OpenVAS
Wireshark
Kismet
Aircrack
Ophcrack
John the Ripper
Finita la teoria, passiamo alla pratica.
Backbox lo scarichiamo dalla pagina https://www.backbox.org/download/
Una volta scaricata la ISO la installiamo su Virtual Box.
Riavviamo la macchina virtuale:
I tools che ci interessano sono nel menu “Auditing”.
Nei successivi articoli andremo a vedere in dettaglio alcuni di questi tools.
Leggi l'articolo intero | Make a Comment ( None so far )Giochiamo con Matlab
In questo articolo vedremo cosa è e come funziona Matlab.
Lo scaricheremo, installeremo e muoveremo i primi passi.
Siete pronti? Partiamo…
Vediamo prima cosa è Matlab.
MATLAB (abbreviazione di Matrix Laboratory) è un ambiente per il calcolo numerico e l’analisi statistica scritto in C, che comprende anche l’omonimo linguaggio di programmazione creato dalla MathWorks. MATLAB consente di manipolare matrici, visualizzare funzioni e dati, implementare algoritmi, creare interfacce utente, e interfacciarsi con altri programmi. Nonostante sia specializzato nel calcolo numerico, uno strumentario opzionale interfaccia MATLAB con il motore di calcolo simbolico di Maple. MATLAB è usato da milioni di persone nell’industria e nelle università per via dei suoi numerosi strumenti a supporto dei più disparati campi di studio applicati e funziona su diversi sistemi operativi, tra cui Windows, Mac OS, GNU/Linux e Unix.
La pagina di riferimento è https://it.mathworks.com/
Matlab non è gratuito e nè opensource. Tuttavia si puà scaricare una Trial e usare Matlab per 30 giorni.
Andiamo nella Home Page del sito:
Andiamo ora nella pagina https://it.mathworks.com/campaigns/products/trials.html?prodcode=ML e vedremo questa schermata.
Inseriamo i dati richiesti e poi clicchiamo su Crea. Per avere Matlab è richiesta la registrazione dell’utente.
Una volta inserita email e come utilizzeremo la versione di prova, clicchiamo su Invia.
Riceveremo una mail con un link e arriveremo alla schermata seguente.
Possiamo a questo punto scaricare il programma:
Clicchiamo su “Install MATLAB on your computer”e poi su “Scarica per Windows” (nel mio caso perchè un sistema Windows).
Scaricato il setup, lo lanciamo:
Accettiamo la licenza e proseguiamo.
Inseriamo ora username e password dell’account appena creato.
Confermiamo l’utente appena creato.
Selezioniamo la cartella di destinazione.
Spuntiamo ora i vari tipo di programmi da installare all’interno di Matlab:
Decidete voi se creare un collegamento sul Desktop oppure no.
Confermiamo il tutto ed ecco che parte l’installazione vera e propria.
Installazione completata. Lanciamolo. Questa è la schermata di default:
Proviamo ora a giocarci un pò.
Ecco, abbiamo mosso i primi passi con questo fantastico programma, che permette anche di creare grafici e vedremo in un successivo articolo come farli.
Peccato che sia a pagamento ma cercherò qualcosa di alternativo gratuito, magari Open Source.
Alla prossima.
Leggi l'articolo intero | Make a Comment ( None so far )Proviamo Scratch
In questo articolo scriverò le mie prime esperienze con Scratch.
Lo voglio provare per curiosità, seppure scrivere programmi in questo modo io lo reputo senza senso perchè non bisogna essere programmatori per poter scrivere videogiochi o programmi del genere. E’ come tirare via un dente usando un apparecchio che può usare anche un bambino, senza conoscere cosa sono i denti, cosa fanno etc etc.
Comunque vediamo cosa è Scratch e come funziona.
Scratch è un ambiente di programmazione gratuito, con un linguaggio di programmazione di tipo grafico. Tale linguaggio, ispirato alla teoria costruzionista dell’apprendimento e progettato per l’insegnamento della programmazione tramite primitive visive, è adatto a studenti, insegnanti e genitori ed è utilizzabile per progetti pedagogici e di intrattenimento che spaziano dalla matematica alla scienza, consentendo la realizzazione di simulazioni, visualizzazione di esperimenti, animazioni, musica, arte interattiva e semplici giochi.
Il gruppo Lifelong Kindergarten del MIT Media Lab, guidato da Mitchel Resnick, e la sua società di consulenza, Playful Invention Company, con sede a Montreal, co-finanziato da quest’ultimo con Brian Silverman e Paula Bonta, ha sviluppato la prima versione desktop di Scratch nel 2003. Dal 2007, i progetti possono essere condivisi online con altri utenti, i quali possono apportare modifiche in modo cooperativo.
Il nome deriva dalla omonima tecnica dello scratch usata dagli artisti del giradischi, i turntablist, alludendo alla facilità con cui è possibile missare e remixare i progetti Scratch.
Da questa base si sono sviluppate altri progetti, per esempio Snap!, per aggiungere altre funzionalità non presenti nella versione di Scratch.
Con l’introduzione della versione 2.0 di Scratch, avvenuta il 9 maggio 2013, è diventato possibile definire blocchi utente all’interno di un progetto.Inoltre, da questa data, il sito di Scratch viene rinnovato graficamente e fornisce un editor online che consente di creare e modificare i progetti direttamente sul sito. Sia la versione offline che quella online richiedono il supporto della tecnologia Adobe Flash.
Una variante di Scratch per bambini da 5 a 7 anni è stata sviluppata sotto il nome di ScratchJr e rilasciata nel 2014.
La terza versione di Scratch è stata annunciata nel 2016 e rilasciata ufficialmente il 2 gennaio 2019. Questa versione è la prima ad essere compatibile anche con la maggior parte dei dispositivi mobili, in quanto è stata sviluppata in HTML5 e JavaScript.
Proveremo realizzare una piccola “applicazione” come questa:
Il sito ufficiale è https://scratch.mit.edu/
Possiamo usarlo online o scaricarlo.
Lo scarichiamo da https://scratch.mit.edu/download/
L’installazione è veramente semplice, non chiede nulla.
Ecco la schermata iniziale:
Proviamo a giocarci.
Dopo qualche prova ho visto che è facile, fluido, fatto per essere utilizzabile da chiunque. Ma tranne me che preferisco scrivere codice.
Comunque lo consiglio per chi vuole imparare a programmare; in questo modo è facile capire gli eventi, i metodi e le proprietà.
Leggi l'articolo intero | Make a Comment ( None so far )Registriamo un dominio gratuito con Free Asp Hosting
Continuiamo la carrellata di siti che offrono servizio di hosting e spazio web gratuitamente.
Dopo aver visto Free Hosting e Hostinggratis ora è il turno di Free Asp Hosting.
I servizi che dicono di offrire sono:
GRATIS ASP.NET
Hosting di domini GRATUITO Hosting
DATABASE MS SQL
GRATUITO INCLUDE .NET Core
5 GB di spazio su disco
Larghezza di banda illimitata
Pool di applicazioni dedicato Autorizzazioni di attendibilità completa
Questo sito è unico per imparare a implementare tecnologie ASP.NET. La loro piattaforma sicura basata su cloud fornisce una vasta libreria di risorse pratiche gratuite che insegnano come programmare utilizzando ASP.NET. Il loro servizio include hosting gratuito ASP.NET con supporto per database MS SQL, .NET 5.0, .NET Core 3.1, .NET Framework 4.8, pool di applicazioni dedicato, autorizzazioni di attendibilità completa, ASP classico, 5 GB di spazio su disco, larghezza di banda illimitata e si può aggiungere il dominio gratuitamente.
Andiamo su https://freeasphosting.net/, questa è la Home Page.
In alto c’è un pulsante “REGISTRATI”. Ci clicchiamo e verremo portati a questa pagina.
Mettiamo poi i nostri dati:
Ecco, l’account è già attivo e possiamo configurare il dominio.
La pagina pubblica è questa.
Non ti offre però un dominio, è una pagina interna (come si faceva a fine anni’90-inizio anni 2000).
E’ comunque utile per imparare ASP.NET e lo userò.
Leggi l'articolo intero | Make a Comment ( None so far )Creazione sito con WebSite Builder
Questa è la seconda parte dell’articolo Registriamo un dominio gratuito con hostinggratis.it | il Blog di Pieer11 (wordpress.com)
Vediamo come funziona la gestione del dominio e la creazione del sito, fondamentale per avere il dominio appena registrato.
Una volta fatto il login, ci troviamo davanti questa schermata:
Vediamo brevemente le varie possibilità che abbiamo sulla gestione del dominio:
Creiamo adesso il sito, tornando alla Dashboard.
Clicchiamo sul pulsante blu “Crea il tuo sito web”.
Ci apparirà questa schermata:
Come potete vedere abbiamo oltre 200 template, anche se poi 1 solo per categoria è free.
Oppure possiamo importare il nostro sito attuale.
Io scelgo la categoria “Tecnologia”.
Scelgo poi il primo template:
E adesso passo alle personalizzazioni.
Una volta che abbiamo finito e il sito è pronto, clicchiamo su “Pubblica”, il pulsante verde in alto a destra.
Con la versione free abbiamo qualche limite.
Ora comunque possiamo vedere che nella nostra Dashboard abbiamo un utente FTP e dello spazio consumato.
Siamo pronti per richiedere l’attivazione del dominio.
Torniamo nel nostro account su https://www.hostingvirtuale.com/pannello.php
Poi dal menu Amministrazione –> Scadenziario
Clicchiamo a questo punto sul triangolino blu
A ogni passaggio si scopre qualcosa di nuovo.
Comunque per 1 anno, se va bene, lo tengo.
Come avete visto, anche, la richiesta può essere fatta una sola volta al giorno.
A questo punto il triangolino blu è diventato nero e non più cliccabile.
Ci arriverà una email.
A questo punto attendiamo. Modificherò il post se e quando arriverà una risposta.
– ___________ – _________________
Ecco, è già arrivata la risposta, sono stati velocissimi, un minuto appena.
In pratica è si gratuito ma devi ancora fare delle cose. Io procedo, non ho problemi in tal senso…
Fatto anche questo passaggio, il sito ancora non è visibile, ma aggiornerò il post quando sarà visibile.
Leggi l'articolo intero | Make a Comment ( None so far )Registriamo un dominio gratuito con hostinggratis.it
Stavo cercando qualche sito che permetta di registrare un dominio gratuito, per fare esperimenti, senza dover utilizzare il mio sito ufficiale crystalweb.it o qualcuno dei miei clienti.
Cercando sul mio motore di ricerca preferito, Bing, ho trovato questo e allora provo a registrarmi, a vedere se effettivamente è gratuito e come funziona.
Andiamo nella Home Page www.hostinggratis.it
Questo è lo Screenshot della Home Page.
I domini che possiamo registrare sono solo .it, .eu e .business
Scegliamo nome e suffisso e procediamo.
Questi sono i servizi offerti per la versione gratuita e quelli a pagamento.
Dobbiamo ora registrarci:
Una volta inseriti i dati personali, ci verrà mostrato il riepilogo d’ordine.
Accettiamo e confermiamo l’ordine.
Riceveremo una email.
Attenzione che qua ti dice che bisogna aver realizzato un sito. Comunque procedo.
Ci arriva un’altra email:
Ecco che adesso ci viene mostrato, per esteso, cosa dobbiamo fare.
La condizione necessaria per richiedere la registrazione del dominio di secondo livello scelto in fase d’ordine, è la realizzazione di un sito web completo.
Si prega quindi di non richiedere la registrazione del dominio di secondo livello per siti web:
- composti da una sola pagina a meno che non realizzati con template one-page;
- incompleti (pagine mancanti, menu inesistenti, link errati);
- con contenuti di fantasia, senza senso o standard (es. Lorem ipsum dolor sit amet);
- con contenuti legati ad eventi non ripetibili (es. matrimoni, cerimonie, feste, elezioni);
- con redirect verso altro dominio o spazio web.
Pur procedendo, l’esito sarà sempre negativo!
Io farò il login e procederò a mettere su un sito, poi vi racconterò come è andata.
Al prossimo articolo.
Leggi l'articolo intero | Make a Comment ( 1 so far )Nmap, enumeriamo i dispositivi sulla nostra rete
In questo articolo vedremo Nmap, una diffusa utility di sistema per verificare i dispositivi connessi alla rete.
Nmap è un software libero distribuito con licenza GNU GPL da Insecure.org creato per effettuare port scanning, cioè mirato all’individuazione di porte aperte su un computer bersaglio o anche su range di indirizzi IP, in modo da determinare quali servizi di rete siano disponibili.
Il sito di riferimento è https://nmap.org/ mentre da https://nmap.org/download.html lo potete scaricare.
Una volta scaricato, lo avviamo.
Questa è la schermata principale:
come potete vedere, possiamo scegliere tra diversi tipi di profili, e quindi di scansione.
Scegliamo “Intense scan, all TCP ports” per conoscere anche le porte aperte (e quindi attaccabili).
Come obbiettivo mettiamo “192.168.1.0-255” o l’indirizzo della vostra rete, indipendentemente a quale rete appartenga.
Il comando diventa quindi: nmap -p 1-65535 -T4 -A -v 192.168.1.0-255
A questo punto clicchiamo su “Scansione” e dopo qualche secondo avremo i risultati di dispositivi connessi e porte aperte.
Una volta ottenuto l’IP di una macchina BackBox,scaricata da https://www.backbox.org/ o da qualunque sito dove scaricare delle iso o macchine virtuali già pronte delle quali non conosciamo nulla. Vedremo in un successivo articolo come trovare i flag in una di queste macchine.
Leggi l'articolo intero | Make a Comment ( None so far )Il nostro sito su WordPress è sicuro?
In questo articolo vedremo l’uso di WPScan.
WPScan è una piccola utility per Linux e Mac OSX utilizzabile da riga di comando per effettuare delle analisi dettagliate su qualsiasi installazione WordPress e quindi evidenziare le vulnerabilità affinché si possa procedere ad eliminarle poi da chi gestisce il sito in questione.
WPScan è in grado di rilevare gli utenti, temi, plugins e persino la password degli utenti effettuando un attacco di “brute force”. In un successivo articolo parleremo anche degli attacchi di brute force.
Ricordo che WPScan come qualsiasi altro strumento di scansione è utilizzabile solo sul proprio sito (o dei propri clienti se in accordo con gli stessi). E’ vietato usarlo per attaccare siti altrui.
Purtroppo questo strumento non è utilizzabile da Windows.
Iniziamo ad usarlo. Io lo uso su una distribuzione Kali Linux, distribuzione specifica per gli addetti alla sicurezza informatica.
Apriamo una sessione terminal e scriviamo questo comando:
wpscan --url www.sito.com
dove al posto di sito.com mettiamo l’indirizzo del sito che vogliamo scansionare.
Io ho provato su una installazione locale su un pc della mia rete.
Come potete vedere, ci dà le caratteristiche del server, del PHP e della versione di WordPress.
Vediamo adesso alcuni parametri. Facciamo con il parametro enumerate l’enumerazione, ossia la raccolta di informazioni.
Queste sono le enumerazioni che possiamo fare:
- -–enumerate u ricerca gli username di wordpress da 1 a 10.
- -–enumerate u[10,20] ricerca gli username di wordpress da 10 a 20.
- -–enumerate p ricerca i plugin installati nel sito di wordpress da analisi pagina.
- -–enumerate vp ricerca i plugin installati in cui risulta una vulnerabilità.
- -–enumerate ap ricerca i plugin installati utilizzando il database completo.
- -–enumerate t ricerca i temi installati nel sito di wordpress da analisi pagina.
- -–enumerate vt ricerca i temi installati in cui risulta una vulnerabilità.
- -–enumerate at ricerca i temi installati utilizzando il database completo.
WPScan permette di eseguire una scansione tramite dizionario utilizzando gli utenti trovati e un database di password già preconfezionato con tutte le password più utilizzate e con un dizionario.
Vediamo degli esempi pratici:
wpscan –-url http://192.168.1.105 –-enumerate p
wpscan –-url http://192.168.1.105 –-enumerate t
wpscan –-url http://192.168.1.105 –-enumerate u
Possiamo a questo punto dargli in pasto un file di password (keyword list) e lui proverà a fare brute-force, ma non è questo lo scopo dell’articolo.
In questo articolo ho voluto solo far vedere come sapere se un sito in WordPress è sicuro con l’uso di WPScan, non ci interessa ottenere la password degli account.
Magari questo lo scriverò in un successivo articolo.
Leggi l'articolo intero | Make a Comment ( None so far )
il Blog di Pieer11 