Add docs

1 files changed, 44 insertions, 0 deletions

diff --git a/docs/m6.tex b/docs/m6.tex
new file mode 100644
index 0000000..a7ac7c7
--- /dev/null
+++ b/docs/m6.tex
@@ -0,0 +1,44 @@
+\input{conf}
+
+\title{
+	\begin{center}
+		\includegraphics[scale=0.2]{data/unict-logo.png}
+	\end{center}
+    \small\textsc{Dipartimento di Matematica e Informatica\\Corso di Internet Security}\\
+    \Huge\textbf{M6: Insecure Authorization\\Attack side}\\
+    \author{Santo Cariotti}
+    \date{x Settembre 2022}
+}
+
+\usepackage{graphicx}
+\begin{document}
+\maketitle
+
+\renewcommand{\contentsname}{Indice}
+\tableofcontents{}
+
+
+\chapter{Introduzione}
+\input{chapters/introduction}
+
+\chapter{Possibile attacco a JWT}
+\input{chapters/jwt-attacks}
+
+\chapter{Attacco ad una API}
+Escluso l'attacco a JWT passiamo ad un possibile attacco rivolto ad un API.
+
+In genere, quando vogliamo tenere traccia del traffico di richieste che vi è dentro una web app (XHR \cite{XHR:1}, loading di immagini, fonts, codice JS) apriamo la "console sviluppatore" che ci dà a disposizione Firefox (o qualsiasi altro browser, come Chrome) e iniziamo a guardare. 
+Con questa relazione però, vogliamo fare un attacco attraverso un dispositivo mobile, quindi controlleremo il traffico in uscita nella nostra rete per scoprire a quale server la nostra mobile app sta facendo capo.
+\newline\newline
+Imposteremo tutto il necessario per replicare l'attacco visto nel capitolo precedente:
+\begin{itemize}
+	\item Una REST API con un problema di autorizzazione nell'endpoint degli utenti, il quale non verifica che l'utente loggato è effettivamente il possessore di quella risorsa;
+	\item Un'applicazione mobile che fa richieste a tale API.
+\end{itemize}
+
+
+
+\bibliography{refs}
+\bibliographystyle{ieeetr}
+
+\end{document}
\ No newline at end of file