🔓 Simulatore Attacchi Web

Laboratorio interattivo e sicuro per comprendere le vulnerabilità web più comuni. Simula attacchi in un ambiente controllato, NON colpisce alcun server reale e utilizza SOLO dati fittizi.

⚠️ LABORATORIO EDUCATIVO E SICURO
Questo simulatore: NON esegue attacchi reali, NON colpisce siti veri, NON utilizza payload pericolosi. È una piattaforma educativa per imparare come funzionano gli attacchi web e come difendersi. Uso esclusivamente scolastico e professionale per aumentare la consapevolezza sulla sicurezza.

🎯 Seleziona il Tipo di Attacco

💉 Simulazione SQL Injection
[PRONTO] Simulatore SQL Injection attivo
[INFO] Questo simulatore NON attacca database reali
[INFO] Clicca "Simula" per visualizzare l'attacco
Rischio: CRITICO
📚 Come Funziona
🎯 Obiettivo dell'Attacco

Iniettare codice SQL malevolo in un campo di input per manipolare le query database.

⚠️ Codice Vulnerabile (pseudocodice)
query = "SELECT * FROM users WHERE name='" + input + "' AND password='" + password + "'"

Problema: Input NON validato

🔴 Payload Simulato
admin' OR '1'='1

Risultato: Bypassata l'autenticazione

🛡️ Difese Consigliate
  • Utilizzare Prepared Statements / Parameterized Queries
  • Validare tutti gli input lato server
  • Limitare i permessi del database
  • Utilizzare ORM (Object-Relational Mapping)
  • Monitorare e loggare query anomale
🔗 Simulazione XSS (Cross-Site Scripting)
[PRONTO] Simulatore XSS attivo
[INFO] Questo simulatore NON esegue script reali
[INFO] Clicca "Simula" per visualizzare l'attacco
Rischio: ALTO
📚 Come Funziona
🎯 Obiettivo dell'Attacco

Iniettare codice JavaScript/HTML che viene eseguito nel browser delle vittime.

⚠️ Codice Vulnerabile
document.getElementById('comments').innerHTML = userInput;

Problema: HTML NON sanitizzato

🔴 Payload Simulato
<img src=x onerror="alert('XSS')">

Risultato: Esecuzione codice non autorizzato

🛡️ Difese Consigliate
  • Sanitizzare tutti gli input HTML/JavaScript
  • Utilizzare Content Security Policy (CSP)
  • Codificare output HTML (HTML encoding)
  • Validare lato server SEMPRE
  • Utilizzare librerie di sanitizzazione (DOMPurify)
🔨 Simulazione Brute Force
[PRONTO] Simulatore Brute Force attivo
[INFO] Questo simulatore NON attacca server reali
[INFO] Clicca "Simula" per iniziare
Rischio: ALTO
📚 Come Funziona
🎯 Obiettivo dell'Attacco

Provare sistematicamente milioni di combinazioni password finché una non funziona.

⚠️ Metodo Utilizzato
for cada password in wordlist: if login(username, password) == success: conta password trovata
🔴 Scenari di Successo

✗ Password deboli
✗ Nessun rate-limiting
✗ Account admin con password di default
✗ Nessun 2FA

🛡️ Difese Consigliate
  • Implementare Rate Limiting (max 5 tentativi)
  • Aggiungere delay esponenziale tra tentativi
  • Abilitare Autenticazione Multi-Fattore (2FA)
  • Account lockout dopo N fallimenti
  • CAPTCHA dopo 3 fallimenti
  • Password policy forte (min 12 caratteri)
📤 Simulazione File Upload Vulnerabile
[PRONTO] Simulatore Upload Vulnerabile attivo
[INFO] Questo simulatore NON carica file reali
[INFO] Clicca "Simula" per visualizzare il rischio
Rischio: CRITICO
📚 Come Funziona
🎯 Obiettivo dell'Attacco

Caricare un file eseguibile (shell, backdoor) sul server per ottenere accesso.

⚠️ Codice Vulnerabile
if (file.type == "image/jpeg"): save_file(file, "/uploads/")

Problema: Validazione MIME insufficiente

🔴 Scenari di Attacco

1. Falsificare MIME type
2. Caricare shell PHP con rename
3. Caricare .htaccess per eseguire PDF come PHP
4. Caricare SVG con script embed

🛡️ Difese Consigliate
  • Validare estensione + magic bytes file
  • Salvare file fuori dalla root web
  • Rinominare file con nome casuale
  • Impostare permessi 644 (no execute)
  • Scansionare file con antivirus
  • Limiti di dimensione file
🎯 Simulazione CSRF (Cross-Site Request Forgery)
[PRONTO] Simulatore CSRF attivo
[INFO] Questo simulatore NON esegue richieste reali
[INFO] Clicca "Simula" per visualizzare l'attacco
Rischio: ALTO
📚 Come Funziona
🎯 Obiettivo dell'Attacco

Indurre un utente a fare azioni non volute su un sito mentre è autenticato.

⚠️ Scenario Tipico

1. Utente accede a banca.com
2. Utente apre in un'altra tab attacker.com
3. attacker.com invia richiesta nascosta a banca.com
4. Cookie sessione autentica la richiesta automaticamente

🔴 Payload Simulato
<img src="https://bank.com/transfer?to=attacker&amount=10000" />

Richiesta inviata senza consenso utente

🛡️ Difese Consigliate
  • Implementare CSRF Tokens su OGNI form
  • Usare SameSite cookie attribute
  • Validare Origin/Referer header
  • Utilizzare POST per azioni critiche
  • Richiedere re-autenticazione per operazioni sensibili
Status: Simulatore Attivo
Modalità: Educativa e Sicura
Ultimo Test: 2026-01-14 14:35:22 UTC