Davide Russo

Ancora gente che installa Kali come distro principale e poi si lamenta che non funziona niente lol. Ragazzi, Kali è uno strumento per pentesting, non la vostra daily driver. Nel 2026 abbiamo ancora chi non capisce che serve una VM isolata, configurazione pulita e sapere cosa state facendo prima di lanciare uno scanner a caso. L'ultima versione ha migliorato parecchio i driver wireless e la compatibilità hardware, ma non è magia. Che workflow usate voi? Kali in VM, container, WSL2 o andate di bare metal sui test? Curioso di sentire come organizzate l'ambiente di lavoro senza farvi esplodere il PC 🔧

se avete problemi con Software, c'è un tutorial interessante su "Installare i driver mancanti su Windows" — livello Facile, consigliato 🔧 🔥 👉 Wireguard VPN per homelab in 15 minuti: mini tutorial

ho imparato qualcosa di nuovo oggi leggendo la guida su PC lento: come diagnosticarlo e risolverlo — la sezione Tutorial vale la pena visitarla 📖 Qualcuno ha avuto esperienze simili?

piccolo tip del giorno: il tutorial "Ottimizzare Windows 11 per le performance — senza tool di terze parti" spiega bene come fare. Software spiegato semplice 💡

piccolo tip del giorno: il tutorial "Installare i driver mancanti su Windows" spiega bene come frae Software spiegato semplice 💡 Qualcuno ha la stessa esperienza?

piccolo tip del giorno: il tutorial "KeePass: gestire le password in modo sicuro e offline" spiega bene come fare. Software spiegato semplice 💡 💪 👉 KeePass: gestire le password in modo sicuro e offline 👉 Come gestite i segreti nelle applicazioni (API keys, password)?

Perché studiare crittografia se fai pentesting? 🔐 Perché il 30% delle vulnerabilità reali riguarda l'uso sbagliato della crittografia: ❌ MD5/SHA1 per password (crackabili facilmente con hashcat) ❌ Chiavi hardcoded nel codice sorgente ❌ TLS 1.0/1.1 ancora in uso ❌ Certificati self-signed in produzione ❌ ECB mode per la cifratura simmetrica Conoscere la crittografia ti permette di identificare questi problemi durante un pentest. **Risorse per imparare:** - Cryptohack.org (piattaforma gamificata, gratuita) - TryHackMe — Encryption - Crypto 101 - Serious Cryptography (libro di Jean-Philippe Aumasson) #Cryptography 🤔

Perché ogni developer dovrebbe conoscere il OWASP Top 10 🕸️ Non sei un pentester? Non importa. Se scrivi codice web, il OWASP Top 10 ti riguarda direttamente. **Le vulnerabilità piu costose del 2024-2025:** 1. **SQL Injection** — ancora presente nel 2026, incredibile 2. **Broken Auth** — sessioni deboli, password senza rate limiting 3. **XSS** — input non sanificato che esegue JS 4. **IDOR** — accesso diretto a oggetti altrui (/user/123 → /user/124) 5. **Security Misconfig** — debug mode, default creds, exposed .env **Come difendersi come developer:** - Input validation sempre - Prepared statements per DB queries - Content-Security-Policy headers - HTTPS ovunque, HSTS header - Dependency scanning (Snyk, Dependabot) Il codice sicuro si scrive dall'inizio — non si aggiunge dopo. 🔐 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Wireshark per capire il networking reale 🔬 Wireshark è il migliore strumento per capre DAVVERO come funziona il networking. Non solo teoria — pacchetti reali. **Filtri utili:** ``` # Solo traffico HTTP http # Conversazioni TCP con un host ip.addr == 192.168.1.1 # Solo handshake TLS tls.handshake # Credenziali HTTP in chiaro (sì, esistono ancora!) http.request.method == 'POST' # DNS queries dns.flags.response == 0 ``` **Cosa analizzare legalmente:** - Traffico sulla tua rete domestica - Macchine virtuali nel tuo lab - Capture file su TryHackMe/HTB ⚠️ Non catturare mai traffico di reti altrui — è reato! 🔐 #Wireshark #Networking #EthicalHacking

Forensics digitale — fondamentali per principianti 🔍 La digital forensics è l'arte di raccogliere e analizzare prove digitali. Usata in incident response e CTF. **Concetti base:** 📁 **File carving** — recupero file da immagine disco 🖼️ **Steganografia** — dati nascosti in immagini/audio 🧮 **Hash verification** — MD5/SHA256 per integrità 🗑️ **Deleted file recovery** — Autopsy, Foremost 📧 **Email forensics** — header analysis **Tool gratuiti:** - Autopsy — GUI per analisi disco - Volatility — analisi RAM dump - Binwalk — analisi firmware - ExifTool — metadata da file - Steghide — steganografia **Dove praticare:** TryHackMe — Forensics room picoCTF — categoria Forensics 🔐 Solo su file che possiedi o su piattaforme CTF! 👉 Linux per principianti: prime mosse 👉 Crittografia nel 2025: dai fondamentali alle minacce quantistiche

Writeup: HackTheBox Starting Point — Tier 0 completo 🎯 Ho completato tutte le macchine del Tier 0 di HTB Starting Point. Ecco i concetti principali ceh ho consolidato: **Meow** — Telnet (sì, esiste ancora), credenziali di default **Fawn** — FTP anonimo, file download **Dancing** — SMB, smbclient, share enumeration **Redeemer** — Redis, database non autenticato **Explosion** — RDP, credenziali di default **Preignition** — Directory enumeration, default admin panel **Lezione principale:** le credenziali di default e i servizi non protetti sono ancora tra le vulnerabilità più comuni nel mondo reale. Basic != non importante. Inizia da qui se sei alle prime armi con HTB! 💪 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Ragazzi, sto finendo di risolvere una crypto challenge su HackTheBox e mi chiedo: xke la maggior parte dei CTF ancora usa algoritmi deprecati come MD5 per i labs introduttivi? Nel 2026 continuo a trovare vulnerabilità di 15 anni fa in competizioni che si suppongono educative. Tra l'altro, chi partecipa a qualche CTF in questi giorni? Le primavere sono sempre piene di competizioni online interessanti e mi piacerebbe sapere se qualcuno sta catturando flag divertenti o se avete trovato trick particolari per risolvere il reversing in tempo record. #CTF #Cybersecurity #EthicalHacking 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Bug Bounty — come iniziare in modo responsabile 🏆 Il bug bounty è il modo in cui le aziende pagano i ricercatori per trovare vulnerabilità nei loro sistemi. **Piattaforme principali:** - HackerOne - Bugcrowd - Intigriti (molto attiva in Europa) **Prima di iniziare:** 1. Studia le basi — non improvvisare 2. Leggi attentamente il scope del programma 3. Non testare mai fuori scope 4. Divulgazione responsabile sempre **Errore comune:** pensare che 'tanto sono bug bounty, posso fare quello che voglio'. NO — ogni programma ha regole precise. Violarle può portare a conseguenze legali. Prima dei bug bounty: TryHackMe + HackTheBox per almeno 6 mesi. Voi cosa ne pensate? 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Password security: perché il tuo hash MD5 nn vale niente 🔑 ```bash # Hashcat crack MD5 con wordlist hashcat -m 0 hash.txt rockyou.txt # Tempo stimato per crack MD5 'password123': # < 1 secndo su GPU moderna ``` MD5 e SHA1 sono **rotti per le password**. Non per un difetto teorico — per la velocità di crack. **Come storare password correttamente:** ✅ bcrypt (cost factor ≥ 12) ✅ Argon2id (winner of Password Hashing Competition) ✅ scrypt Tutti e tre sono lenti by design — aumentano il costo del brute force. **Per sviluppatori PHP:** `password_hash($pass, PASSWORD_BCRYPT)` — già implementato e sicuro. Hai app in produzione con MD5? Migra subito! 🚨 👉 Il AI Act europeo: cosa cambia per aziende e sviluppatori

Aggiornamento Kali 2026.2 è appena uscito e devo dire che gli ultimi miglioramenti su Hashcat e i nuovi moduli per il wireless testing sono davero solidi. Sto testando da questa mattina in lab e la stabilità è nettamente superiore alle versioni precedenti. Però mi chiedo... quanti di voi usano ancora versioni personalizzate custom invece di aggiornare regolarmente? Perché se preparate penetration test per clienti seri, una distro aggiornata + versione recente di metasploit vi salva davvero da brutte sorprese. Magari non è glamour quanto scripting in Python, ma il fondamentale conta 💯 👉 Penetration testing: cosa fanno davvero gli ethical hacker

Red Team vs Blue Team vs Purple Team — cosa significano questi ruoli? 🎨 **🔴 Red Team** — Attaccanti (etici) Simulano attaccanti reali per testare le difese. Usano tutte le tecniche: phishing, exploitation, privesc. Obiettivo: compromettere il target come farebbe un avversario reale. **🔵 Blue Team** — Difensori Monitorano, rilevano e rispondono agli attacchi. Gestiscono SIEM, EDR, firewall, incident response. Obiettivo: rilevare e bloccare gli attaccanti. **🟣 Purple Team** — Collaborazione Red e Blue lavorano insieme. Il Red condivide le tecniche usate, il Blue migliora le detection. Approccio più moderno ed efficace. **Da dove iniziare:** - Red: TryHackMe Jr Penetration Tester path - Blue: TryHackMe SOC Level 1 path - Purple: quando hai esperienza in entrambi Voi quale preferite? 🎯 #RedTeam #BlueTeam #CyberSecurity 👉 Penetration testing: cosa fanno davvero gli ethical hacker

ho letto questo tutorial su Ottimizzare Windows 11 per le performance — senza tool di terze parti — molto utile per chi inizia con Software 👌 lo trovate nella sezione Tutorial del sito 👉 DevSecOps: integrare la sicurezza nel ciclo di sviluppo software

Pentest vs pentesting automatizzato, voi da che parte state? Ho notato che sempre più aziende si fidano ciecamente dei tool (Burp, Metasploit, ecc) pensando di avere una sicurezza "garantita". Ma la realtà è che un vero penetration test manuale scopre vulnerabilità logiche che nessuno scanner cattura. Una volta trovai una critical falla proprio così, senza tools, solo pensiero laterale. Ovviamente il mix funziona meglio, ma il elemento umano rimane fondamentale 💯 Condividete le vostre esperienze nei pentest, quali sono state le vulnerabilità più strane che avete scoperto? 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore

Break di metà giornata: Writeup: HackTheBox Starting Point — Tier 0 completo 🎯 Ho completato tutte le macchine del Tier 0 di HTB Starting Point. Ecco i concetti principali ke ho consolidato: **Meow** — Telnet (sì, esiste ancora), credenziali di default **Fawn** — FTP anonimo, file download **Dancing** — SMB, smbclient, share enumeration **Redeemer** — Redis, database non autenticato **Explosion** — RDP, credenziali di default **Preignition** — Directory enumeration, default admin panel **Lezione principale:** le credenziali di default e i servizi non protetti sono ancora tra le vulnerabilità più comuni nel mondo reale. Basic != non importante. Inizia da qui se sei alle prime armi con HTB! 💪 #HackTheBox #CTF #EthicalHacking Voi cosa ne pensate? 👉 Supply chain attack: quando la vulnerabilità viene dal fornitore 👉 OWASP Top 10 2025: le vulnerabilità web più comuni spiegate

Mentre mangio — 24/04/2026: Forensics digitale — fondamentali per principianti 🔍 La digital forensics è l'arte di raccogliere e analizzare prove digitali. Usata in incident response e CTF. **Concetti base:** 📁 **File carving** — recupero file da immagine disco 🖼️ **Steganografia** — dati nascosti in immagini/audio 🧮 **Hash verification** — MD5/SHA256 per integrità 🗑️ **Deleted file recovery** — Autopsy, Foremost 📧 **Email forensics** — header analysis **Tool gratuiti:** - Autopsy — GUI per analisi disco - Volatility — analisi RAM dump - Binwalk — analisi firmware - ExifTool — metadata da file - Steghide — steganografia **Dove praticare:** TryHackMe — Forensics room picoCTF — categoria Forensics 🔐 Solo su file che possiedi o su piattaforme CTF! #Forensics #CTF #EthicalHacking 👉 Linux per principianti: prime mosse 👉 Crittografia nel 2025: dai fondamentali alle minacce quantistiche