Pagina 1 di 3
La superficie d'attacco più ampia e sfruttata nelle applicazioni web aziendali è il codice stesso: SQL injection, XSS, IDOR, autenticazione debole, logiche di autorizzazione bucate. L'hardening infrastrutturale è importante, ma se il codice è vulnerabile, niente lo salva.
In questa categoria scrivo di secure coding su PHP e Laravel: OWASP Top 10 applicato, input validation, output encoding, gestione sessioni, upload di file, CSRF, protezione contro SSRF. Il taglio è quello di chi ha fatto audit e penetration test reali. Parliamone se vuoi un audit del tuo codice, oppure scopri il mio percorso.
I computer quantistici non sono ancora una minaccia operativa, ma i dati cifrati oggi con RSA saranno decifrabili tra 10-15 anni. Per applicazioni che gestiscono dati con vita utile lunga, la migrazione verso algoritmi post-quantistici va pianificata ora. Vi racconto lo stato degli standard NIST e le implicazioni pratiche per PHP. Continua a leggere
Le password sono il problema più antico della sicurezza web. In una piattaforma Laravel B2B ho implementato autenticazione via passkey (WebAuthn) come alternativa principale e magic link come fallback. Il tasso di supporto dei browser moderni è abbastanza alto da rendere l'approccio pratico in produzione. Vi mostro l'implementazione. Continua a leggere
Un sistema di webhook che invia notifiche a 200 integratori terzi non può permettersi delivery inaffidabile. Ho costruito un sistema con coda prioritaria, retry esponenziale fino a 24 ore, firma HMAC per autenticità, logging di ogni tentativo e dashboard di monitoring per gli integratori. Zero delivery perse da 9 mesi. Continua a leggere
La sessione PHP è uno dei vettori di attacco più sottovalutati. In un assessment su un portale bancario PHP, ho dimostrato session fixation in meno di 10 minuti sfruttando un PHPSESSID passato in query string. Vi mostro la configurazione php.ini che elimina la classe di vulnerabilità e i pattern di sessione sicura per Laravel. Continua a leggere
Quando hai dieci microservizi che si parlano tra loro, la gestione della sicurezza e dell'osservabilità a livello applicativo diventa insostenibile. Con Istio, mutual TLS tra tutti i servizi, distributed tracing con Jaeger e circuit breaker configurabili via YAML - senza cambiare una riga di codice PHP. Continua a leggere
Security testing manuale è costoso e non scala. Ho costruito un layer di security testing automatico nella pipeline GitHub Actions di un cliente: PHPStan per l'analisi statica, OWASP ZAP in modalità baseline per il DAST, Trivy per i container. Zero colli di bottiglia, il tempo di CI è aumentato solo di 4 minuti. Continua a leggere
Le pipeline CI/CD sono diventate un vettore di attacco privilegiato: compromettere un'action GitHub condivisa significa comprometterne tutti i consumer. Ho auditato le pipeline di dieci clienti e trovato action appuntate a tag mutabili, secrets esposti nei log, e workflow con permessi eccessivi. Vi mostro le fix. Continua a leggere
Un'API key di produzione finita su GitHub pubblico per errore di un junior. Con pre-commit hooks avrei potuto prevenirlo. Vi mostro il setup che uso su tutti i miei progetti: detect-secrets per le credenziali, PHPStan per i bug evidenti, licenza check e formattazione automatica. Installazione in 10 minuti. Continua a leggere
JWT è facile da implementare male. Ho trovato algorithm confusion attack (alg: none) in tre API Laravel auditate nell'ultimo anno - una vulnerabilità che permette di forgiare token validi senza conoscere il segreto. Vi spiego le vulnerabilità tipiche e il pattern di implementazione sicura con firebase/php-jwt. Continua a leggere
Ho trovato una vulnerabilità critica in un gestionale PHP usato da 300 PMI italiane. Non era un mio cliente. La gestione della disclosure è stata complicata: il vendor non aveva un canale dedicato, i tempi di fix erano incerti, e le PMI erano a rischio. Vi racconto come ho gestito ogni fase. Continua a leggere
