Pagina 2 di 3
La superficie d'attacco più ampia e sfruttata nelle applicazioni web aziendali è il codice stesso: SQL injection, XSS, IDOR, autenticazione debole, logiche di autorizzazione bucate. L'hardening infrastrutturale è importante, ma se il codice è vulnerabile, niente lo salva.
In questa categoria scrivo di secure coding su PHP e Laravel: OWASP Top 10 applicato, input validation, output encoding, gestione sessioni, upload di file, CSRF, protezione contro SSRF. Il taglio è quello di chi ha fatto audit e penetration test reali. Parliamone se vuoi un audit del tuo codice, oppure scopri il mio percorso.
Dopo la compromissione di un'applicazione Laravel, il cliente voleva sapere come erano entrati e cosa avevano preso. Ho ricostruito la kill chain completa dai log di Nginx, PHP, MySQL e dal filesystem: webshell caricata tramite IDOR + unrestricted upload, backdoor persistente in un file di configurazione. Vi mostro il metodo. Continua a leggere
Per un'applicazione di gestione pratiche per uno studio legale, il sistema di autorizzazione doveva essere granulare a livello di documento, non solo di ruolo. Ho implementato Symfony Voter con regole basate su ownership, stato del documento e relazioni tra entità. Vi mostro l'architettura e il codice reale. Continua a leggere
Un'API pubblica Laravel per la verifica dei codici fiscali veniva martellata da scraper: 4.000 richieste al minuto da IP singoli. Il throttle di default di Laravel non bastava. Ho implementato un sistema multi-livello: rate limit per IP, per chiave API, per endpoint e un adaptive rate limiter che scala in base al carico. Continua a leggere
Il 70% dei sistemi PHP che ho auditato usava openssl_encrypt con parametri sbagliati o mcrypt deprecato. Libsodium è disponibile di default da PHP 7.2 e offre primitive crittografiche moderne e difficili da usare male. Vi mostro i pattern corretti per cifrare dati a riposo in un'applicazione gestionale Laravel. Continua a leggere
In un assessment su un portale Symfony per la gestione documentale di un'azienda legale, ho trovato upload senza validazione del MIME reale: bastava rinominare un PHP in .pdf per caricarlo ed eseguirlo. Vi mostro la catena di validazione completa che uso in produzione, dal content-type all'isolamento dello storage. Continua a leggere
Ho scansionato con Trivy le immagini Docker di cinque clienti. Il risultato: immagine php:8.2-fpm con 147 CVE, di cui 12 critiche. L'immagine non era stata aggiornata da otto mesi. Vi mostro il processo di hardening: base image minimale, utente non-root, multi-stage build e pipeline di aggiornamento automatico. Continua a leggere
Telescope è uno strumento potente ma va usato in produzione con cautela: senza configurazione adeguata, logga dati sensibili degli utenti e rallenta l'applicazione. Vi mostro la configurazione che uso per abilitare Telescope in produzione solo per gli IP del team, con filtri su query, request body e response. Continua a leggere
Il problema con i SIEM tradizionali per le PMI è il costo e la complessità. Ho costruito una pipeline alternativa con Claude API che legge i log di Nginx, PHP-FPM e MySQL ogni 15 minuti, identifica pattern anomali e invia alert su Slack solo quando c'è qualcosa di reale. Falsi positivi quasi azzerati. Continua a leggere
Una finanziaria di medie dimensioni mi ha chiesto di revisionare la sicurezza di un'applicazione di prestiti ancora in sviluppo. In due ore di threat modeling con STRIDE abbiamo identificato 14 rischi significativi - cinque dei quali avrebbero richiesto settimane di refactoring se scoperti dopo il lancio. Continua a leggere
Su cinque API Laravel con OAuth 2.0 auditate nell'ultimo anno, quattro avevano almeno una vulnerabilità critica nell'implementazione. La più comune era l'assenza di validazione del parametro state, che apre a attacchi CSRF sull'autorizzazione. Vi mostro le vulnerabilità, i payload di test e le fix. Continua a leggere
