From bb67f4077c816b75678ca9846aeea2d6ee14fa5c Mon Sep 17 00:00:00 2001 From: Santo Cariotti Date: Sun, 21 Aug 2022 18:51:23 +0200 Subject: Add docs --- docs/m6.tex | 44 ++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 44 insertions(+) create mode 100644 docs/m6.tex (limited to 'docs/m6.tex') diff --git a/docs/m6.tex b/docs/m6.tex new file mode 100644 index 0000000..a7ac7c7 --- /dev/null +++ b/docs/m6.tex @@ -0,0 +1,44 @@ +\input{conf} + +\title{ + \begin{center} + \includegraphics[scale=0.2]{data/unict-logo.png} + \end{center} + \small\textsc{Dipartimento di Matematica e Informatica\\Corso di Internet Security}\\ + \Huge\textbf{M6: Insecure Authorization\\Attack side}\\ + \author{Santo Cariotti} + \date{x Settembre 2022} +} + +\usepackage{graphicx} +\begin{document} +\maketitle + +\renewcommand{\contentsname}{Indice} +\tableofcontents{} + + +\chapter{Introduzione} +\input{chapters/introduction} + +\chapter{Possibile attacco a JWT} +\input{chapters/jwt-attacks} + +\chapter{Attacco ad una API} +Escluso l'attacco a JWT passiamo ad un possibile attacco rivolto ad un API. + +In genere, quando vogliamo tenere traccia del traffico di richieste che vi è dentro una web app (XHR \cite{XHR:1}, loading di immagini, fonts, codice JS) apriamo la "console sviluppatore" che ci dà a disposizione Firefox (o qualsiasi altro browser, come Chrome) e iniziamo a guardare. +Con questa relazione però, vogliamo fare un attacco attraverso un dispositivo mobile, quindi controlleremo il traffico in uscita nella nostra rete per scoprire a quale server la nostra mobile app sta facendo capo. +\newline\newline +Imposteremo tutto il necessario per replicare l'attacco visto nel capitolo precedente: +\begin{itemize} + \item Una REST API con un problema di autorizzazione nell'endpoint degli utenti, il quale non verifica che l'utente loggato è effettivamente il possessore di quella risorsa; + \item Un'applicazione mobile che fa richieste a tale API. +\end{itemize} + + + +\bibliography{refs} +\bibliographystyle{ieeetr} + +\end{document} \ No newline at end of file -- cgit v1.2.3-18-g5258