Ricerca

Risultati per "generatore password"

Articoli dal blog

Trovati 10 risultati

  1. Autenticazione passwordless in Laravel: passkey, magic link e WebAuthn

    Implementare autenticazione passwordless in Laravel: passkey con WebAuthn, magic link via email e confronto con OTP per sicurezza e UX in applicazioni web.

    A ottobre 2025 ho ricevuto dal CTO di un'azienda SaaS del settore servizi legali italiano una lista di incident di sicurezza degli ultimi 12 mesi che aveva il seguente profilo: tre casi di password riutilizzate ed esposte in breach di servizi esterni (uno studio legale intero compromesso perché l'admin usava la stessa password dovunque), due casi di phishing riuscito che aveva portato alla compromissione di utenze finali (email fake che imitava perfettamente un avviso di scadenza fattura ... continua a leggere

  2. Bug bounty e vulnerabilità "non risolvibili" nel 2026: come triagiare DoS, brute force e rate limit con un threat model serio

    Bug bounty e vulnerabilità "non risolvibili": come triagiare DoS da password lunghe, brute force e rate limit nel 2026 con un threat model serio invece di un fix infinito.

    Tre anni fa ho passato due settimane a inseguire un ticket di sicurezza per un cliente del settore e-commerce. Un bug hunter aveva segnalato che il loro endpoint /password/reset permetteva di mandare 200 email di reset password al minuto verso lo stesso indirizzo, e chiedeva una bounty di 1500 euro. Il team di sviluppo aveva implementato un rate limit per IP, il bug hunter aveva girato Tor, gli avevano aggiunto un captcha, lui aveva linkato 2captcha.com con un costo a richiesta di 0.0008 dollari... continua a leggere

  3. Architettura cybersecurity per PMI: cinque principi che spiego a ogni nuovo cliente (e uno che uccide chi ci crede)

    Defense in depth, least privilege, separation of duties, secure by design, KISS: cinque principi di sicurezza e gli errori che vedo negli audit alle PMI italiane.

    Nel settembre 2024 ho audited un e-commerce B2B veneto che aveva subito una compromissione: un attaccante era entrato via un WordPress marketing satellite (non il core Laravel dell'e-commerce) e si era mosso lateralmente fino al MySQL dell'e-commerce, esfiltrando circa 12.000 record cliente. Quando ho presentato il report all'IT manager, la sua prima frase è stata: "Ma avevamo il firewall, l'antivirus, le password complesse, e il database era separato". Aveva ragione sulla carta. Nella re... continua a leggere

  4. Red team su infrastruttura cloud PMI: tecniche di ricognizione e lateral movement

    Tecniche di red team su infrastruttura cloud per PMI italiane: ricognizione OSINT, escalation di privilegi su VPS Linux e lateral movement tra container.

    In un engagement red team condotto a giugno 2025 per un'azienda del settore retail con un'infrastruttura cloud composta da tre VPS Hetzner e un cluster Docker Swarm, il nostro team è passato da zero accesso a root su tutti i server in 4 ore e 12 minuti. Il punto di ingresso non era una vulnerabilità zero-day, non era un exploit sofisticato, e non richiedeva strumenti specialistici - era un form di upload avatar nel profilo utente dell'applicazione Laravel che accettava URL esterni ... continua a leggere

  5. Esigenze di Business e Affidabilità Tecnologica nell'Era Digitale

    Business vs Affidabilità Digitale: guida completa su sicurezza, gestione rischi e successo nell'era tecnologica. Scopri come bilanciare innovazione e protezione.

    Questo articolo fa parte della NIS2 Awareness - Dettagli tecnico/operativi sulla Direttiva UE 2022/2555 (NIS2)Se hai bisogno di un Consulente Cyber Security esperto, contattami senza impegno. Grazie alla collaborazione con un team multidisciplinare di esperti sapremo seguirti nel processo di Analisi, di Procedura, e di Implementazione delle misure tecnico-operative di adeguamento.NIS2: Obblighi, Scadenze e Strategie per la Sicurezza AziendaleNIS2 Explained: Cybersecurity Compliance for European ... continua a leggere

  6. MySQL esposto su un VPS Hetzner con root senza password: il CIS benchmark che applico nelle prime due ore di hardening

    Hardening MySQL su VPS con Laravel: root senza password, bind su 0.0.0.0, niente TLS. Il protocollo CIS benchmark che applico in due ore su ogni server che prendo in carico.

    A luglio 2025 ho eseguito un audit di sicurezza su un VPS Hetzner AX41 (Ryzen 5 3600, 64 GB RAM, 2×512 GB NVMe) che ospitava un e-commerce B2B Laravel 10 nel settore dell'elettronica industriale - circa 1.200 clienti attivi e un fatturato e-commerce di 800.000 euro. Il titolare mi aveva chiamato per un problema di performance, ma quando ho aperto il terminale la prima cosa che ho verificato è stata la sicurezza del database. Quello che ho trovato era lo scenario che incontro in alme... continua a leggere

  7. Modernizzare un gestionale finanziario PHP 5.4 sotto vincolo NIS2: quattro mesi per portare a compliance un sistema di 93.000 righe con dati di 11.000 clienti

    Gestionale PHP 5.4 in una società di intermediazione creditizia: 93.000 righe, dati di 11.000 clienti, zero encryption, zero audit trail. Il percorso NIS2-ready in 4 mesi.

    Il 28 agosto 2025 ho ricevuto una telefonata da un commercialista di Novara che gestisce un piccolo studio di intermediazione creditizia - una di quelle realtà che aiutano privati e piccole imprese a ottenere mutui, prestiti personali, cessioni del quinto, confrontando le offerte di istituti di credito diversi. Undici dipendenti, 11.000 clienti in portafoglio accumulati in tredici anni di attività, un fatturato di circa 1,2 milioni di euro, e un gestionale custom costruito nel 2012... continua a leggere

  8. Aggiornamento sicurezza credenziali Laravel: implementare rotazione chiavi e rehashing password da L9/L10 a L12 per la tua impresa

    260.000 APP_KEY Laravel esposte su GitHub. La rotazione graceful e il rehashing automatico in Laravel 11/12 sono misure di sicurezza non più rimandabili.

    In una piattaforma marketplace con migliaia di utenti attivi, l'APP_KEY Laravel non era stata ruotata dal giorno dell'installazione - cinque anni prima. Le password degli utenti erano hashate con bcrypt a 10 round, il valore di default al momento dello sviluppo iniziale. Nessuno dei due aspetti era percepito come un problema: "funziona, non tocchiamo nulla." Una ricerca congiunta GitGuardian/Synacktiv pubblicata nel luglio 2025 ha dimostrato quanto questa percezione sia pericolosa: 260.000 APP_K... continua a leggere

  9. Software legacy in azienda: perché ignorare la modernizzazione è una bomba a orologeria per il tuo business

    Il software legacy mette a rischio la tua azienda ogni giorno. Scopri come e perché la modernizzazione con Laravel è la chiave per la sicurezza e la crescita.

    Nel panorama digitale odierno, agilità e sicurezza non sono optional, ma requisiti fondamentali per la sopravvivenza e la crescita di un’azienda. Eppure, troppe PMI italiane convivono con un segreto scomodo: un software gestionale, un CRM custom, un portale interno, o un'applicazione critica per il business, basata su tecnologie obsolete, scritta anni fa, e che oggi rappresenta un vero e proprio fardello. Parliamo di software legacy.La reazione più comune, frutto di anni di e... continua a leggere

  10. Conformità NIS2: Il Ruolo Strategico del Consulente Cybersecurity

    La conformità alla Direttiva NIS2 è un passaggio cruciale per le aziende che operano in settori critici. Con standard di sicurezza più stringenti, la gestione del rischio, la sicurezza della supply chain, il disaster recovery e la risposta agli incidenti

    Questo articolo fa parte della NIS2 Awareness - Dettagli tecnico/operativi sulla Direttiva UE 2022/2555 (NIS2)Se hai bisogno di un Consulente Cyber Security esperto, contattami senza impegno. Grazie alla collaborazione con un team multidisciplinare di esperti sapremo seguirti nel processo di Analisi, di Procedura, e di Implementazione delle misure tecnico-operative di adeguamento.NIS2: Obblighi, Scadenze e Strategie per la Sicurezza AziendaleNIS2 Explained: Cybersecurity Compliance for European ... continua a leggere

Potresti cercare anche
#realizzazione ecommerce downloader index.php #fonte web #laravel n plus one #code audit php #codebase takeover #realizzazione siti torino #sviluppo webapp imola #cms siti internet torino