Simula-Un-Attacco on u-random

816 tentativi zero successi

Wed, 27 May 2026 00:00:00 +0000

TL;DR

HIDS (Wazuh agent) monitora il singolo host dall'interno - log, file, processi.
SIEM (Wazuh manager) raccoglie tutto, correla, genera alert.
HIPS (fail2ban) agisce automaticamente dopo la detection - blocca l'IP attaccante.
IDS e IPS non sono prodotti diversi: è la stessa categoria, con o senza capacità di blocco.

▶ $ history

hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.64.3 -t 4
tail -f /var/log/auth.log
tail -f /var/log/fail2ban.log

Il lab è semplice: Ubuntu con Wazuh, Kali con Hydra, una wordlist da 14 milioni di password. Obiettivo: vedere cosa succede dall'altra parte quando un attaccante tenta il brute force SSH.

Il Campo che Parlava Troppo

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SQL Injection avviene quando l'input utente viene concatenato direttamente nella query - il DB esegue codice che non dovrebbe
Un apostrofo nel campo username è spesso sufficiente per rilevare la vulnerabilità
La difesa corretta è la parameterized query - non l'input validation da sola
Il WAF può rallentare l'attacco ma non sostituisce il fix nel codice

▶ $ history

curl -s -X POST url -d "username=test&password=test"
tshark -r capture.pcap -Y "http.request.method == POST"

Mi hanno dato tre ore e un URL. Un'applicazione web interna - gestionale ordini, usato dal reparto commerciale. "Testala. Dimmi cosa non va."

Il Gateway Sono Io

Thu, 09 Apr 2026 00:00:00 +0000

TL;DR

ARP non ha autenticazione - chiunque può convincere una rete che il gateway è lui
Per fare un MITM silenzioso servono tre passi: IP forwarding, avvelenare entrambi i lati, disabilitare ICMP Redirect
La firma del MITM in Wireshark è inequivocabile: stesso pacchetto, stesso seq number, TTL decrementato di 1
ip route flush all su una macchina remota equivale a spegnerla - lezione imparata a caro prezzo

▶ $ history

arpspoof -i eth0 -t 192.168.64.3 192.168.64.1
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
ip neighbor show
tcpdump -i eth0 -n 'host 192.168.64.3 and icmp' -c 10

Sono le 21:00. Il lab è acceso da qualche ora. Ho appena finito di leggere come funziona il Gratuitous ARP - quella tecnica dove un dispositivo annuncia a tutta la rete "questo IP sono io", senza che nessuno lo abbia chiesto.