?? Simulatore Attacchi Web

Laboratorio interattivo e sicuro per comprendere le vulnerabilit� web pi� comuni. Simula attacchi in un ambiente controllato, NON colpisce alcun server reale e utilizza SOLO dati fittizi.

?? LABORATORIO EDUCATIVO E SICURO
Questo simulatore: NON esegue attacchi reali, NON colpisce siti veri, NON utilizza payload pericolosi. � una piattaforma educativa per imparare come funzionano gli attacchi web e come difendersi. Uso esclusivamente scolastico e professionale per aumentare la consapevolezza sulla sicurezza.

?? Seleziona il Tipo di Attacco

?? Simulazione SQL Injection
[PRONTO] Simulatore SQL Injection attivo
[INFO] Questo simulatore NON attacca database reali
[INFO] Clicca "Simula" per visualizzare l'attacco
Rischio: CRITICO
?? Come Funziona
?? Obiettivo dell'Attacco

Iniettare codice SQL malevolo in un campo di input per manipolare le query database.

?? Codice Vulnerabile (pseudocodice)
query = "SELECT * FROM users WHERE name='" + input + "' AND password='" + password + "'"

Problema: Input NON validato

?? Payload Simulato
admin' OR '1'='1

Risultato: Bypassata l'autenticazione

??? Difese Consigliate
  • Utilizzare Prepared Statements / Parameterized Queries
  • Validare tutti gli input lato server
  • Limitare i permessi del database
  • Utilizzare ORM (Object-Relational Mapping)
  • Monitorare e loggare query anomale
?? Simulazione XSS (Cross-Site Scripting)
[PRONTO] Simulatore XSS attivo
[INFO] Questo simulatore NON esegue script reali
[INFO] Clicca "Simula" per visualizzare l'attacco
Rischio: ALTO
?? Come Funziona
?? Obiettivo dell'Attacco

Iniettare codice JavaScript/HTML che viene eseguito nel browser delle vittime.

?? Codice Vulnerabile
document.getElementById('comments').innerHTML = userInput;

Problema: HTML NON sanitizzato

?? Payload Simulato
<img src=x onerror="alert('XSS')">

Risultato: Esecuzione codice non autorizzato

??? Difese Consigliate
  • Sanitizzare tutti gli input HTML/JavaScript
  • Utilizzare Content Security Policy (CSP)
  • Codificare output HTML (HTML encoding)
  • Validare lato server SEMPRE
  • Utilizzare librerie di sanitizzazione (DOMPurify)
?? Simulazione Brute Force
[PRONTO] Simulatore Brute Force attivo
[INFO] Questo simulatore NON attacca server reali
[INFO] Clicca "Simula" per iniziare
Rischio: ALTO
?? Come Funziona
?? Obiettivo dell'Attacco

Provare sistematicamente milioni di combinazioni password finch� una non funziona.

?? Metodo Utilizzato
for cada password in wordlist: if login(username, password) == success: conta password trovata
?? Scenari di Successo

? Password deboli
? Nessun rate-limiting
? Account admin con password di default
? Nessun 2FA

??? Difese Consigliate
  • Implementare Rate Limiting (max 5 tentativi)
  • Aggiungere delay esponenziale tra tentativi
  • Abilitare Autenticazione Multi-Fattore (2FA)
  • Account lockout dopo N fallimenti
  • CAPTCHA dopo 3 fallimenti
  • Password policy forte (min 12 caratteri)
?? Simulazione File Upload Vulnerabile
[PRONTO] Simulatore Upload Vulnerabile attivo
[INFO] Questo simulatore NON carica file reali
[INFO] Clicca "Simula" per visualizzare il rischio
Rischio: CRITICO
?? Come Funziona
?? Obiettivo dell'Attacco

Caricare un file eseguibile (shell, backdoor) sul server per ottenere accesso.

?? Codice Vulnerabile
if (file.type == "image/jpeg"): save_file(file, "/uploads/")

Problema: Validazione MIME insufficiente

?? Scenari di Attacco

1. Falsificare MIME type
2. Caricare shell PHP con rename
3. Caricare .htaccess per eseguire PDF come PHP
4. Caricare SVG con script embed

??? Difese Consigliate
  • Validare estensione + magic bytes file
  • Salvare file fuori dalla root web
  • Rinominare file con nome casuale
  • Impostare permessi 644 (no execute)
  • Scansionare file con antivirus
  • Limiti di dimensione file
?? Simulazione CSRF (Cross-Site Request Forgery)
[PRONTO] Simulatore CSRF attivo
[INFO] Questo simulatore NON esegue richieste reali
[INFO] Clicca "Simula" per visualizzare l'attacco
Rischio: ALTO
?? Come Funziona
?? Obiettivo dell'Attacco

Indurre un utente a fare azioni non volute su un sito mentre � autenticato.

?? Scenario Tipico

1. Utente accede a banca.com
2. Utente apre in un'altra tab attacker.com
3. attacker.com invia richiesta nascosta a banca.com
4. Cookie sessione autentica la richiesta automaticamente

?? Payload Simulato
<img src="https://bank.com/transfer?to=attacker&amount=10000" />

Richiesta inviata senza consenso utente

??? Difese Consigliate
  • Implementare CSRF Tokens su OGNI form
  • Usare SameSite cookie attribute
  • Validare Origin/Referer header
  • Utilizzare POST per azioni critiche
  • Richiedere re-autenticazione per operazioni sensibili
Status: Simulatore Attivo
Modalit�: Educativa e Sicura
Ultimo Test: 2026-01-14 14:35:22 UTC