Automatizzare le operazioni con gli screenshot

Ogni qual volta ci tocca ripetere più volte la stessa operazione è utile creare una macro, ovvero un insieme di comandi che vengono eseguiti ogni volta che è necessario. Le macro offrono la possibilità di ripetere le stesse operazioni anche ciclicamente. Fino a poco tempo fa esistevano programmi in grado di registrare i movimenti del mouse, i click e la pressione dei tasti sulla tastiera. Oggi, grazie a Sikuli, è possibile creare una macro attraverso gli screenshot. Per chi non lo sapesse, gli screenshot sono delle immagini catturate dal monitor.

Project Sikuli, al momento in versione BETA, è un software multi-piattaforma disponibile per i seguenti sistemi operativi:

• Microsoft Windows XP/Vista/Seven (solo versioni 32bit)
• Mac OS X Leopard 10.5/Snow Leopard 10.6
• Linux

Anche se è una versione BETA, il software funziona molto bene. In pochi e semplici passaggi permette di automatizzare qualsiasi tipo di operazione, anche le più complesse.

Sul sito ufficiale, sono disponibili una serie di filmati dimostrativi sull’utilizzo del programma e sulle sue potenzialità.

Per scaricare il programma cliccate qui

Qui di seguito, vi posto un paio di filmati riguardo l’utilizzo del software:

Che ne dite? Vi fa venir voglia di provarlo vero?

Popularity: 1% [?]

SQL Injection

Trattasi delle seguenti piattaforme:
• ASP.NET versione 1.1
• ASP.NET versione 2.0
• PHP
Che cos’è una SQL Injection?
La SQL injection è una tecnica dell’hacking finalizzata a colpire le applicazioni web che utilizzano un database di tipo SQL. Questa tecnica sfrutta un errore o dimenticanza del programmatore di effettuare controlli sui dati ricevuti in input per immettere del codice maligno all’interno di una query. Tramite un SQL Injection, il malintenzionato può riuscire ad autenticarsi all’interno del sito, potendo visualizzare e modificare i contenuti di quest’ultimo. Il tutto senza conoscere username e password dell’amministratore del sito web. Ovviamente, una volta riusciti ad entrare nelle aree protette del sito web, è anche possibile risalire alla password dell’amministratore..

Come proteggere le pagine ASP dagli attacchi

Fortunatamente è possibile proteggersi da questi attacchi!

Se utilizziamo un database SQL Server, sarà necessario utilizzare le stored procedure, in questo modo i parameters sono immuni a questo genere di attacco.

Se utilizziamo un altro tipo di database, per esempio: mysql.. possiamo sfruttare una funzione come questa:

<%

Function ProteggiSQL(stringa)

stringa = Replace(stringa, “[", "[[]“);

stringa = Replace(stringa, “]”, “[]]”);

stringa = Replace(stringa, “_”, “[_]“);

stringa = Replace(stringa, “‘”, “””);

stringa = Replace(stringa, “%”, “[%]“);

stringa = Replace(stringa, “#”, “[#]“);

ProteggiSQL = stringa

End function

SQL = “SELECT * FROM tab1 WHERE ID = ‘” & ProteggiSQL(Request(“ID”)) & “‘”

%>

Questa piccola ma efficace funzione, non fa altro che variare i caratteri immessi.
Per proteggere invece la nostra pagina web dagli attacchi injection basterà utilizzare la seguente funzione Server.HtmlEncode, in questo modo non verrà riconosciuto il comando di injection nella query.

<%
strHTML = “alert(document.cookie);”

‘ stringa immessa nei form di login
Response.Write(strHTML)

‘ protezione da un eventuale code injection
Response.Write(Server.HtmlEncode(strHTML))

%>

Come proteggere le pagine PHP dagli attacchi
Anche in PHP è possibile proteggersi da attacchi Injection, tuttavia, esistono vari metodi. Lascio a voi la scelta di quale utilizzare:

<?php

function stop($data){

$hash = addslashes(strip_tags($data));

return $hash;

}

?>

Questo pezzetto di codice serve per bloccare tutti i tag html sospetti, in più bloccherà l’utilizzo di una punteggiatura pericolosa, per esempio ‘aaa”. Ovvero l’utilizzo di apici singoli e doppi.

<?php

function stop($data){

$hash = msyql_real_escape_string(strip_tags($data));

return $hash;

}

?>

Quest’altro codice, invece, è simile alla precedente, ma è molto più accurata e fidata
I due script postati sopra, devono essere utilizzati univocamente, non è possibile utilizzarli entrambi nella stessa pagina, sarebbe inutile..
Ovviamente, questi script sono elementari, quindi un malintenzionato preparato potrebbe scavalcare questa protezione..
Come verificare se il proprio sito è vulnerabile

Se si utilizza un database SQL Server, si può utilizzare l’applicativo di casa Microsoft: UrlScan filter. Questo tool, controlla il codice delle proprie pagine e segnala eventuali porzioni di codice vulnerabili.
Per tutti gli altri database è possibile utilizzare uno dei tanti tool Open Source, sul seguente sito trovate una lista dei vari tool e del linguaggio di programmazione controllato.
Lista tool: http://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html

Popularity: 4% [?]

Scripting mIRC – I Parte

mIRC è un client IRC per Microsoft Windows che viene rilasciato sotto licenza shareware. Grazie all’editor di script interno, è possibile aggiungere nuove funzionalità al programma, sempre utilizzando il linguaggio adatto. Grazie ai numerosi sviluppatori di script per mIRC, quest’ultimo è divenuto uno dei 10 più popolari programmi di internet. Il linguaggio di programmazione con cui si creano gli script è simile ad un linguaggio di shell, e tramite questo si possono personalizzare tutti gli aspetti del client, aggiungendone funzioni e modificandone altre. Con la versione 6 del client di chat, è stata aggiunta la funzionalità “multi-server”: questa ci permette di collegarci a più server contemporaneamente, senza aprire un secondo client irc. Tramite l’editor di script interno, possiamo già iniziare a modificare il nostro client. Possiamo aggiungere diversi alias, per esempio:

• F2 /amsg ciao a tutti
• F3 /list
• /gioca /join #quiz

ma ora passiamo ad analizzare ciò che abbiamo scritto…

F2 /amsg ciao a tutti ci permette di inviare il messaggio “ciao a tutti” in tutti i chan dove siamo presenti alla sola pressione del tasto F2 della tastiera.

F3 /list ci visualizza la lista dei canali disponibili (dove possiamo entrare per chattare).

L’ultima invece, non appena scriviamo “/gioca” in una qualsiasi finestra del client, entriamo subito nel channel #quiz , dove si gioca al trivial 24h su 24h

To be continued….appena ho tempo =)

Popularity: 1% [?]

Proteggere le proprie immagini nel web

Qualsiasi immagine visualizziamo su un sito, noi possiamo decidere di salvare sul nostro computer. Così facendo, però, possiamo salvare anche immagini personali… Ovviamente anche se mettiamo noi qualche foto nel nostro sito si presenta lo stesso problema: chiunque può “fregarsi” le nostre immagini… Per ovviare a questo problema c’è un piccolo trucchetto

Quando inseriamo un’immagine in una pagina web, per proteggere la nsotra immagine possiamo sovrapporre alla nostra immagine una gif trasparente, un nuovo livello, o una png trasparente. In questo modo, gli utenti meno esperti vedranno l’immagine, ma se vogliono salvarla non salveranno l’immagine reale, ma quella sovrapposta

Questo metodo non funziona al 100%, in quanto i motori di ricerca possono trovare l’immagine reale, ed un utente esperto può, tramite il codice sorgente della pagina web, risalire all’indirizzo dell’immagine reale e salvare comunque.. in più anche salvando l’intera pagina web, nella directory saranno presenti tutte le immagini, sia la reale che la sovrapposta.

Anche se non efficace al massimo è sempre un buon metodo per evitare che chiunque salvi subito le nostre immagini.

Popularity: 1% [?]