Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio"

Transcript

1 Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Progetto per il corso di Argomenti Avanzati di Sistemi Informativi. Prof. Ceri, Ing. Brambilla Politecnico di Milano 31 Maggio 2005 Luca Carettoni (667031) Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 1

2 Sommario Introduzione 3 Applicazioni e Sicurezza in ambiente web Introduzione 6 Vulnerabilità. Esempi di applicazioni reali Introduzione 9 Web Hacking Methodology per le applicazioni WebML/WebRatio Sicurezza intrinseca del Modello WebML 10 Valutazione dei rischi associati a ciascun elemento del modello Analisi sulla sicurezza delle applicazioni generate con WebRatio 14 Casi di studio: Applicazione Acme e Gestione Corsi Profiling 14 Tentativi di attacco alla piattaforma di deployment 19 Tentativi di attacco ai meccanismi di autenticazione 20 Tentativi di attacco ai meccanismi di autorizzazione 23 Tentativi di attacco alla gestione delle sessioni 26 Problematiche di Input Validation 27 Tentativi di attacco alla base di dati 29 Conclusioni 31 Considerazioni finali sulla sicurezza. Accorgimenti e Tecnologie Bibliografia 33 Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 2

3 Introduzione Applicazioni e Sicurezza in ambiente web In questo documento si presenta un lavoro di analisi volto alla valutazione della sicurezza delle applicazioni web realizzate attraverso il modello WebML ed il relativo tool di sviluppo WebRatio. Questa nuova metodologia consente di effettuare uno sviluppo efficiente delle applicazioni data intensive. Consapevoli dell enorme potenzialità dello strumento, in questa analisi preliminare, vogliamo valutare la sicurezza delle applicazioni considerando come, in ambito web, sia difficile garantire i tre paradigmi fondamentali della sicurezza: integrità, confidenzialità e disponibilità. Con la progressiva diffusione di architetture distribuite, aperte e flessibili, garantire la sicurezza e l integrità dei sistemi informativi aziendali è diventato un compito realmente complesso. Se da un lato, la diffusione delle web applications (WA) ha portato evidenti benefici, dall altro ha evidenziato l intrinseca insicurezza delle applicazioni stesse. Le WA costituiscono senza dubbio uno dei terreni più fertili per l exploiting di vulnerabilità, per differenti ragioni: Il web nasce come rete di scambio di informazioni trusted. L espansione a ritmi esponenziali delle infrastrutture hardware e software ha tuttavia snaturato questa idea. Il principio base del TCP, secondo uno dei pionieri di Internet Jon Postel, era (ed è) di fare molta attenzione ai dati inviati, e di accettare di buon grado i dati ricevuti (RFC 793, Settembre 1981). Questo poteva valere agli albori del WWW, ma non certo ora; Le WA possono vantare un grandissimo bacino di utenza, essendo per loro natura fruibili via Web e intrinsecamente aperte alla comunicazione remota; La distanza fisica, propria delle applicazioni remote, è un ulteriore elemento di incoraggiamento alle azioni illecite nel mondo del Web, poichè offre l opportunità di mascherare la propria identità e sfruttare la molteplicità dei collegamenti nel cammino end-to-end per alterare diversi parametri dei messaggi in transito; Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 3

4 Le WA hanno spesso accesso, per necessità oggettive, a basi di dati che possono contenere dati sensibili (e quindi attraenti per un utente malintenzionato); Esistono differenti tecnologie per la costruzione di WA, tutte orientate all immediatezza e alla semplicità d uso. Costruire applicazioni web è spesso veloce ed economico anche per personale non qualificato sotto il profilo della sicurezza; Il fatto che la parte legata all infrastruttura di rete nel sistema informativo aziendale sia sempre più sicuro (si pensi a diverse soluzioni quali antivirus, firewall e IDS) sposta automaticamente l interesse degli attacker sulle interfacce pubbliche delle WA. La costruzione di WA sicure è una costante sfida, poichè, se da un lato migliorano i mezzi nelle mani di chi deve garantire la sicurezza, dall altro gli stessi strumenti possono giocare a favore di chi tende a destabilizzarla. Da un studio realizzato da Imperva Inc. emerge uno scenario abbastanza allarmante: i dati divulgati si riferiscono al periodo , e riportano un generale trend di crescita per quanto concerne la presenza di vulnerabilità nelle WA: prima fra tutte il tampering dei parametri, seguita dalla incorretta gestione dei permessi ed alle note problematiche di SQL Injection e Cross-Site Scripting. Le vulnerabilità che causano i maggiori danni sono quelle correlate alla mancata validazione dell input dell utente, ovvero quelle che scaturiscono dall uso di parametri che ricevono assegnamenti da input esterno e che non subiscono un adeguata trafila di controllo. Directory Traversal Cookie Poisoning Buffer Overflow Forcefull Browsing Brute Force Denial of Service Known Vulnerabilities Session Hijacking 4% 6% 4% 5% 3% 2% 2% 3% 16% Parameter Tampering 13% Permissions Improper Management Source Disclosure 7% 10% Access of Internal Modules 8% 8% 9% SQL Injection Information Gathering Cross-Site Scripting Percentuali di vulnerabilità riscontrate dai penetration test Imperva Inc. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 4

5 Sebbene i dati presentati dovrebbero suggerire di considerare la sicurezza delle applicazioni come un requisito paragonabile a quelli funzionali, solo in questi ultimi anni si sta cercando di porre attenzione a tale aspetto. OWASP (Open Web Application Security Project) sta cercando di definire delle metodologie standard da adottare durante lo sviluppo del software stesso ma, ad oggi, non esistono ancora soluzioni o schemi formali, ma solamente linee guida. Risulta altrettanto difficile definire una metodologia per la verifica di tali requisiti. Non esiste ancora una pallottola d argento per la sicurezza in ambito web, anche se alcune società del settore tendono a farlo credere. Per risolvere questa sfida occorrono persone capaci, grande conoscenza e ottima formazione, ottimi processi e il meglio della tecnologia. Mark Curphey - OWASP Founder Al fine di realizzare una valutazione quanto più metodologica possibile rispetto al singolo caso in esame (nel nostro caso quello delle applicazioni generate con WebRatio) cercheremo comunque di definire una serie di passi di verifica che abbiamo effettuato e che di fatto risultano essere lo schema classico eseguito da un attacker. Trattandosi di una valutazione preliminare, la possibilità di tracciare sistematicamente le verifiche effettivamente eseguite permette di analizzare successivamente alcuni dettagli che sono risultati fragili piuttosto che cercare di forzare meccanismi che in prima analisi sono risultati sicuri, evitando di indurre sensazioni di falsa sicurezza che accomunano qualsiasi Vulnerability Assessment. Prima di ciò, presentiamo brevemente alcune classiche vulnerabilità che affliggono le web applications, in maniera da padroneggiare le problematiche che analizzeremo all interno delle applicazioni. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 5

6 Introduzione Vulnerabilità. Esempi di applicazioni reali [SQL INJECTION] L sql injection è una tecnica di attacco basata sull inserimento di valori untrusted all interno di una query sql, con l obiettivo di eseguire del codice sql arbitrario. Consideriamo il problema presente in una vecchia versione di Squirrel Mail (un applicativo di webmail integrato sviluppato in PHP4) e in particolare dell address book, il quale si appoggia ad un db (MYSQL) per il salvataggio delle informazioni. Riportiamo, per completezza, la struttura della tabella address alla quale faremo riferimento: CREATE TABLE address ( owner varchar(50) default NULL, nickname varchar(50) default NULL, firstname varchar(50) default NULL, lastname varchar(50) default NULL, varchar(50) default NULL, label varchar(50) default NULL) Nella versione all interno della pagina squirrelmail/squirrelmail/functions/abook_database.php é presente la seguente query: $query = sprintf("select * FROM %s WHERE owner= %s AND nickname= %s ", $this->table, $this->owner, $alias); $res = $this->dbh->query($query); In nessun punto precedente del codice viene effettuato un controllo sul contenuto delle variabili e, poichè tale valore è modificabile dall utente, il mancato controllo di validazione dell input rappresenta la giusta collocazione per un attacco di questo tipo. Se per esempio la variabile $alias contenesse la seguente stringa: Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 6

7 UNION ALL SELECT * FROM address WHERE = tale segmento di codice genererebbe la seguente istruzione sql: SELECT * FROM address WHERE owner= me AND nickname= UNION ALL SELECT * FROM address WHERE = Supponendo che non ci sia nessun utente con il campo nickname vuoto, la prima SELECT non restituirà risultati, mentre la seconda, poichè costruita con una clausola WHERE incondizionata, ritornerà tutte le tuple contenute nel database. L utilizzo del comando sql di aliasing (AS) permette poi di bypassare i problemi di visualizzazione dei risultati della query. [Cross-Site Scripting (XSS)] All interno di questa tipologia di attacchi rientrano tutti quei casi in cui l aggressore ha la possibilità di inserire, all interno della web application, del codice arbitrario così da modificarne il comportamento per perseguire i propri fini illeciti. Mostriamo ora un altra vulnerabilità presente in una vecchia versione di Squirrel Mail in cui è presente un problema di XSS, dovuto ad un controllo non adeguato sui parametri in ingresso. $day=$_get[ day ]; $month=$_get[ month ]; $year=$_get[ year ]; echo"<a href=\"day.php?year=$year&" echo"month=$month&day=$day\">"; In questa parte dello script, le variabili rappresentanti il giorno, mese e anno vengono prelevate da una precedente http_request, per comporre una nuova pagina html. Senza aver effettuato alcun controllo sul contenuto delle variabili queste potranno essere usate per inserire del codice maligno da far eseguire direttamente all utente stesso. Inserendo quindi una stringa del tipo: e convincendo l utente ad aprire tale url (per esempio tramite un o eventuale segnalazione su forum pubblici) è possibile eseguire comandi che hanno gli stessi privilegi del server web stesso. Questa situazione è l ideale per attacchi di session hijacking in cui poter prelevare cookies ed altre informazioni sensibili all utente stesso. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 7

8 L html di risposta alla richiesta http dell utente è infatti: <a href="day.php?year=><script>mycode();</script> ed il parametro year, ora riempito con la funzione mycode è il mezzo attraverso il quale eseguire del codice arbitrario. [Transversal Directory Attack] Consideriamo una nuova applicazione e vediamo, ancora una volta, come semplici dimenticanze sulla validazione degli input producono problemi seri per quanto riguarda la sicurezza dell applicazione. In questo caso parliamo di phpmyadmin (tool sviluppato in PHP per la completa amministrazione di MySQL attraverso un interfaccia web). Sino alla versione 2.5.x di tale software è presente un problema di sicurezza rientrante nella categoria delle Directory Transversal Vulnerability, tramite il quale risulta possibile effettuare il listing di una directory del web server che ospita l applicazione. Inviando un richiesta formulata nel seguente modo al file \db\details_importdocsql.php e sostituendo a TRANSVERSAL_PATH l opportuno path per la directory di cui vogliamo avere il listing, riusciamo senza nessun problema ad ottenere il risultato sperato. Sostituendo, per esempio../../../ è quindi possibile mostrare il contenuto della root. Sebbene in questo modo sia unicamente possibile visualizzare l elenco dei file presenti, e non richiedere i file stessi, tale attacco può comunque essere un ottima base di partenza per ottenere maggiori informazioni sulla vittima nonchè per scoprire eventuali pagine pubblicate nel webserver (magari usate come test), ma non collegate pubblicamente al sito. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 8

9 Introduzione Web Hacking Methodology per le applicazioni WebML/WebRatio Come accennato precedentemente, sebbene non risulta possibile definire una metodologia universale di Vulnerability assessment, possiamo tentare di tracciare delle linee guida utilizzate durante l analisi delle applicazioni WebML/WebRatio. In primo luogo occorre distinguere due livelli di sicurezza: 1. Considerando il modello concettuale WebML, cercheremo di effettuare un mapping tra gli elementi appartenenti a tale modello ed un valutazione dei rischi associati. Questa analisi a livello di modello astratto non ci porterà alla reale scoperta di vulnerabilità, ma servirà per iniziare ad identificare gli eventuali punti deboli della catena. 2. Considerando invece l implementazione reale dell applicazione web progettata, il cui codice viene generato automaticamente tramite WebRatio, ed effettuando diversi test di tipo black-box oppure white-box, cercheremo di scoprire gli effettivi punti deboli di tali sistemi. In particolare, a questo livello, adotteremo un analisi basata sui seguenti punti: 1. Profiling (analisi e utilizzo ragionato dell applicazione) 2. Tentativi di attacco alla piattaforma di deployment (poichè di fatto integrata nello strumento) 3. Tentativi di attacco ai meccanismi di autenticazione 4. Tentativi di attacco ai meccanismi di autorizzazione 5. Tentativi di attacco alla gestione delle sessioni 6. Problematiche di Input Validation 7. Tentativi di attacco alla base di dati All interno di questo documento, nella parte dedicata all exploiting dell applicazione, manterremo tale struttura. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 9

10 Sicurezza intrinseca del Modello WebML Valutazione dei rischi associati a ciascun elemento del modello Analizzare la sicurezza di un software significa anche capire come tale applicazione viene prodotta e con quali metodologie e tecnologie vengono implementate le varie soluzioni. Il modello WebML è il riferimento teorico per il tool di web design WebRatio. Proprio questa formalizzazione teorica alla base di un IDE per lo sviluppo di software assicura al prodotto finale delle buone caratteristiche di versatilità ed ingegnerizzazione. Se da un lato la presenza di un modello formalmente definito è un aspetto vincente della tecnologia dall altro, la modalità con cui qualsiasi strumento di sviluppo (come è di fatto WebRatio) realizza effettivamente l applicazione può essere uno dei principali punti deboli a questo livello di astrazione. Avere un determinato design pattern utilizzato per creare un applicazione web significa, a livello di prodotto finale, ottenere la medesima implementazione con pregi e difetti. Se l implementazione di un determinato pattern presenta dei problemi di sicurezza, essi saranno presenti in tutte le sue istanze. Dal punto di vista tecnico è un vantaggio enorme per l aggressore poter conoscere la modalità con cui tale codice viene scritto e conoscere per esempio i meccanismi di login. In questo senso alcune applicazioni diventano analizzabili tramite test di tipo white-box, sebbene l aggressore possa accedere solamente da remoto. Esso infatti potrebbe riprodurre parti dell applicazione in locale per studiarne il comportamento. Queste affermazioni sono giustificate dal fatto che, sebbene non sia possibile basare la sicurezza di un sistema unicamente sulla security by obscurity, spesso può essere un ottimo deterrente per le persone meno preparate tecnicamente (script kiddies, etc). Il riuso di parti dell applicazione, caratteristica fondamentale per strumenti di questo tipo, permette all aggressore di definirsi degli schemi mentali sul funzionamento del sistema rendendo più semplice la fase di profiling. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 10

11 Per velocizzare la fase di prototipazione, WebML include molteplici scorciatoie per ottenere in breve tempo un applicazione up and running da specifiche incomplete. Per esempio è definita una regola in cui ad ogni entità del modello dei dati è generato automaticamente una data unit con l inclusione di tutti gli attributi. Durante uno sviluppo di software attento agli aspetti legati alla sicurezza del prodotto, la regola che dovrebbe accompagnare lo sviluppo è quella del tanta informazione quanto basta!. Queste ed altre semplificazioni per lo sviluppo, fornite dal modello, possono risultare poco attente agli aspetti della sicurezza sebbene non rappresentino di sicuro problemi critici. Se da un lato, avere un modello intrinsecamente pone la serie di problemi che abbiamo accennato, dall altro permette una verifica puntuale di alcuni requisiti. WebML definisce il concetto di validità dell hypertext attraverso una serie di nozioni di correttezza tra le quali anche la raggiungibilià. Uno dei problemi che affligge le applicazioni web nella fase del deployment (e spesso per tutta la durata del sistema stesso!) è l utilizzo da parte dei tecnici di eventuali pagine di test non direttamente collegate alle pagine visibilmente accessibili. Non sono rari i casi in cui le aggressioni vengono compiute attraverso pagine chiamate test.php, debug.asp, sqlquery.jsp, etc. Un problema concettualmente semplicissimo, che spesso però esiste a causa della negligenza del personale tecnico. WebML non permette la presenza di pagine (con l eccezione dell homepage) che non abbiano link in ingresso (contestuali o non). Il formalismo teorico alla base dello sviluppo fornisce in questo senso un meccanismo robusto per la verifica di tali caratteristiche. La personalizzazione dell applicazione stessa è fondamentale per supportare lo sviluppo di applicazioni in contesti applicativi quali i siti di e-commerce, online community, etc. WebML include la nozione di utente e gruppo di utenti, tipica dei sistemi multiutente. Da un lato questa caratteristica è fondamentale per associare permessi ed effettuare un controllo sulle azioni consentite; dall altro la generazione automatica di codice associato al modello permette di ricavare un mapping rispetto ai meccanismi realmente implementati dai metodi di controllo d accesso (campi del database, forms, etc). Tali informazioni possono essere realmente preziose durante un attacco informatico. Dopo questa panoramica sui possibili problemi connessi al modello, vogliamo ora presentare un tabella riassuntiva degli elementi principali del modello cercando di definire il loro ruolo per la messa in sicurezza dell applicazione: Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 11

12 Elemento del modello Simbolo Tipologia di attacco Note Data/Multidata unit Entry unit Set/Get unit Create/Delete/Modify/ Connect/Disconnect unit Login/Logout unit Sendmail unit Unvalidated input(sql injection); Improper Error Handling; Insecure Storage Unvalidated input (code injection); Cross Site Scripting; Injection Flaws Unvalidated Input; Broken Session Management; Cross Site Scripting Unvalidated input(sql injection); Improper Error Handling; Insecure Storage Broken Authentication; Improper Error Handling; Unvalidated input Injection Flaws; Improper Error Handling; Rappresentano la fonte principale di informazioni alle quali l aggressore può essere interessato. Rappresentano il punto di accesso di molti degli attacchi basati su injection. Importante la validazione dell input. Principale mecanismo di autenticazione nei siti web attuali. Importante la validazione dell input. Generic operation Links Buffer Overflows; Injection Flaws; Denial of Service Unvalidated input; Cross Site Scripting; Injection Flaws Potendo associare operazioni generiche lato server bisogna porre attenzione ad ogni singola istanza. Principale veicolo di injection dopo l inserimento diretto dai forms. Ogni parametro andrebbe validato. Valutazione degli elementi del modello secondo la denominazione OWASP Top Ten. In conclusione, durante questa prima fase dell analisi, si vuole evidenziare come il modello risulti fondamentalmente sicuro, senza grossi problemi di coerenza strutturale o di altro tipo. Come per molti altri sistemi (dispositivi hardware, stack dei protocolli, etc.) spesso è l implementazione che introduce imperfezioni ed errori che minano la sicurezza dell architettura. Al di là dei problemi precedentemente individuati (presenza di patterns, standardizzazione dei parametri, etc.), tipici dei sistemi fortemente automatizzati, è da sottolineare come anche Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 12

13 nel caso di WebML/WebRatio sia necessario che delle persone competenti anche in materia di sicurezza svolgano lo sviluppo e il deployment. Sebbene il framework tecnologico nasce per permettere lo sviluppo di applicazioni web in maniera facile ed efficiente anche a persone con skills differenti (grazie alla separazione degli aspetti di strutturazione dei dati, composizione e presentazione) è indispensabile, al fine della sicurezza, che al termine della prototipazione vengano di fatto svolte opportune analisi per validarne la sicurezza, per modificare punti critici e per aggiungere manualmente meccanismi di controllo e validazione. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 13

14 Analisi sulla sicurezza delle applicazioni generate con WebRatio Casi di studio: Applicazione Acme e Gestione Corsi Dopo aver effettuato delle considerazioni di carattere generale sul modello, cerchiamo di analizzare in dettaglio alcune applicazioni generate utilizzando questo approccio. La ricerca di vulnerabilità non ha nessuna pretesa di realizzare un Vulnerability Assessment completo, che richiederebbe certamente un impiego di risorse e competenze differenti, ma solamente di evidenziare alcuni punti critici presenti nelle applicazioni sotto esame. Per i test effettuati è stata utilizzata una piattaforma Linux con kernel gentoo-r5, WebRatio 4.0 rev 11 Academic Trial Version, Jsp 1.2, PostgreSQL ver r2 e MySQL ver Durante l analisi, sono state utilizzate la demo fornita nel package di WebRatio (Acme) e un applicazione sviluppata in ambito universitario per la gestione di corsi (Gestione Corsi) da F.Merlo, M.Miraz e A.Naggi. Dopo aver opportunamente configurato l application server e il database di backend (opportunamente popolato con la funzione automatica Create Filled Data Mapping ), abbiamo effettuato il deployment tramite la generazione automatica del codice fornita dallo strumento WebRatio. Seguendo la metodologia di web hacking illustrata durante l introduzione, procediamo in ordine dal profiling dell applicazione ai tentativi di attacco alla base di dati. Nel seguito non riporteremo in maniera sistematica tutti i passaggi svolti, ma solamente i risultati di ogni fase dell analisi su una delle due applicazioni analizzate. Profiling Effettuare del profiling su un applicazione web significa effettuare un identificazione degli ip, delle porte e delle specifiche versioni dei servizi (e del sistema operativo stesso) presente sul server, ma anche iniziare a farsi un idea sull applicazione che bisogna analizzare. La componente base di questo tipo di analisi è la semplice intuizione e la pazienza di esplorare e provare ogni singola funzionalità del sito stesso. In questa fase è necessario anche capire Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 14

15 il funzionamento e la struttura dell applicazione, fruendo del servizio come un qualunque altro utente. Per testare qualche piccola funzionalità si può eventualmente iniziare ad inserire input differenti da quelli ragionevolmenti attesi per una tale operazione. Usare, per esempio, campi numerici dove si pensa siano attesi solo stringhe, uso di caratteri strani (, %,&,../,/,*,#), etc. Per effettuare il profiling del web server e dell applicazione, abbiamo utilizzato anche tools comuni per questo tipo di scanning come Nmap, Amap (Application Scanner), Nessus e Nikto (Vulnerabilty Scanning for Web Application). Gli ultimi due, in particolare, oltre ad effettuare una scansione del sistema, svolgono il ruolo di veri e propri tools per Vulnerability Assessment in quanto, attraverso un database di vulnerabilità note, cercano di trovare un matching con la versione dei servizi effettivamente presente. L utilizzo di questi strumenti è un ottimo complemento all auditing manuale che però non può essere sostituito dalla semplice scansione automatica. E evidente come effettuare il profiling in modalità black-box da remoto sia molto diverso dall eseguire lo stesso lavoro disponendo di una metodologia formale come WebML. Nel primo caso, il lavoro necessita di molto tempo e spesso non si riesce durante questa fase ad avere una piena coscienza del funzionamento dell applicazione nel suo complesso. Disponendo invece di uno strumento quale WebRatio, che permette di ottenere una rappresentazione chiara della singola applicazione, questo procedimento può essere notevolmente semplificato. Per questo aspetto, l utilizzo di strumenti di modellazione è da consigliarsi per aiutare lo sviluppatore a mantenere una visione di insieme dell applicazione e al security tester per comprenderne in breve tempo i meccanismi di funzionamento. Una breve introduzione alle due applicazioni, prima di procedere con il profiling della piattaforma: Acme è un applicazione demo per la gestione di un catalogo di prodotti online. L intero progetto è divisibile in due Site View separate: una dedicata alla presentazione dei prodotti e una per l amministrazione del catalogo. L utente, accedendo alla sezione pubblica può visionare i prodotti, leggere i dettagli di un determinato prodotto, effettuare ricerche nel catalogo, trovare le offerte del momento e i negozi più vicini per fare acquisti. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 15

16 Nella sezione amministrazione invece è possibile gestire completamente tali informazioni inserendo e/o modificando nuovi prodotti, offerte e stores. L applicazione Acme Gestione Corsi è un applicazione completa per la gestione di corsi didattici. Anche in questo caso è possibile distinguere cinque Site View differenti che coincidono con i differenti profili di utenti interessati ad accedere alle informazioni (Docenti, Visitatori anonimi, Partecipanti ai corsi, Segreteria didattica e Aziende per le quali sono effettuati i corsi). Nella sezione pubblica è possibile visionare i corsi ed informazioni sui docenti. Accedendo attraverso un login, è possibile gestire le informazioni legate ai corsi in base alle proprie credenziali di accesso (la segreteria può definire nuovi corsi, i docenti associati, le aziende per le quali effettuare i corsi, i partecipanti e la gestione dei pagamenti. Il partecipante può accedere al proprio profilo, scaricare il materiale utile, etc.) Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 16

17 L applicazione Gestione Corsi Consideriamo ora la piattaforma su cui sono eseguite le applicazioni. Se spesso, durante le analisi legate alla sicurezza delle applicazioni, gli aspetti di configurazione del server non sono interessanti, nel caso di WebRatio, è estremamente importante considerarle in quanto, fornendo di fatto una piattaforma completa di sviluppo (deployment compreso, grazie alla presenza di Tomcat), l applicazione potrebbe essere utilizzata direttamente attraverso questa modalità. Sicuramente utilizzare un servizio di application server stand-alone opportunamente configurato sulla macchina adibita a server rappresenta la soluzione migliore in termini di sicurezza e perfomance. Anche perchè con tale configurazione è possibile gestire la macchina in maniera completa effettuando, per esempio, aggiornamenti automatici. WebRatio integra Apache Jakarta Tomcat (Servlet/JSP Spec 2.2/1.1 oppure 2.3/1.2). In maniera remota un aggressore esterno potrebbe effettuare un port scanning cercando di fare banner grabbing o fingerprinting per risalire alla specifica versione dell application server. In effetti utilizzando il tool nmap (http://www.insecure.org/nmap/) con l opzione -sv è possibile capire da remoto che sulla macchina è installato un servizio Apache/Tomcat 1.1 sulla porta Le stesse osservazioni potevano essere fatte considerando la presenza del servizio ajp13 sulla porta Infatti il JK Connector è installato di default con Tomcat e serve per comunicare Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 17

18 tramite il protocollo AJP con un eventuale installazione già presente di Apache per far gestire ad Apache stesso le richieste a pagine statiche e l eventuale SSL layer. Utilizzando inoltre Nikto, oltre a confermare quanto detto precedentemente, è possibile appurare che l installazione presente è una configurazione base di Tomcat. Nella versione standard sono presenti ancora i servizi di management, degli esempi applicativi ed altri file che potrebbero essere usati dall aggressore per compromettere il sistema, oltre ad una serie di configurazioni poco sicure (per esempio, il directory listings). Port Scanning sul server in cui WebRatio effettua il deployment Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 18

19 Scansione effettuata con il tool Nikto Tentativi di attacco alla piattaforma di deployment Come abbiamo potuto capire dalla fase precedente, la piattaforma su cui WebRatio effettua il deployment automatico deve assolutamente essere considerata una piattaforma di testing, utilizzabile solamente durante lo sviluppo. La versione di Tomcat installata non è per nulla configurata ed inoltre è presumibile che non sia nemmeno aggiornata. Nelle liste in cui vengono raccolti i Security Advisor è già presente un grosso elenco di vulnerabilità che affligge la versione Ne riportiamo a titolo di esempio uno, che potrebbe compromettere la disponibilità del servizio: Name: Description: CAN (under review) Apache Tomcat before 5.x allows remote attackers to cause a denial of service (application crash) via a crafted AJP packets. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 19

20 Name: CAN (under review) Phase: Assigned ( ) La criticità dell installazione può essere infatti confermata attraverso il tool Nessus (http://www.nessus.org/) che riporta una serie di problematiche: per esempio un Cross Site Scripting (XSS) che permette all attaccante l inserimento di codice html o javascript che potrebbe venir successivamente presentato dal server al client legittimo. Un url maligno potrebbe essere: Tentativi di attacco ai meccanismi di autenticazione Sebbene in ambito web esistano diversi meccanismi di autenticazione (HTTP Authentication Basic, Digest, Integrated Windows), il più diffuso è sicuramente quello denominato Form- Based Authentication. WebRatio realizza un autenticazione basata unicamente su questo meccanismo attraverso il database sql di backend utilizzato per lo storage delle informazioni. Per ogni richiesta di login, effettuata tramite l immissione dello username e della password ed inviata tramite una http_request verso il server, viene effettuata una query al database server al fine di validare l identificazione fornita. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 20

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE Pag. 1/1 Sessione ordinaria 2010 Seconda prova scritta Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO DI ORDINAMENTO Indirizzo: INFORMATICA

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro?

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? Che cos'e' SQL? Acronimo di 'Structured Query Language E' un linguaggio

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Vulnerabilità informatiche (semplici)..

Vulnerabilità informatiche (semplici).. Vulnerabilità informatiche (semplici).. in infrastrutture complesse....il contenuto di questo speech è di pura fantasia, ogni riferimento a infrastrutture reali o fatti realmente accaduti è puramente casuale

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

SWIM v2 Design Document

SWIM v2 Design Document PROGETTO DI INGEGNERIA DEL SOFTWARE 2 SWIM v2 DD Design Document Matteo Danelli Daniel Cantoni 22 Dicembre 2012 1 Indice Progettazione concettuale Modello ER Entità e relazioni nel dettaglio User Feedback

Dettagli

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:

Dettagli

Spett.le Clever Consulting Via Broletto, 39 20121 Milano

Spett.le Clever Consulting Via Broletto, 39 20121 Milano Spett.le Clever Consulting Via Broletto, 39 20121 Milano Milano, 23 Luglio 2007 n. 20070723.mb29 Alla cortese attenzione: Dr. Antonio Tonani Oggetto: per Attività di Security Assessment per Carige Assicurazioni

Dettagli

Applicazione: GAS - Gestione AcceSsi

Applicazione: GAS - Gestione AcceSsi Riusabilità del software - Catalogo delle applicazioni Gestione ICT Applicazione: GAS - Gestione AcceSsi Amministrazione: Consiglio Nazionale delle Ricerche (CNR) Responsabile dei sistemi informativi Nome

Dettagli

ALLEGATO TECNICO SUL MODELLO DI SICUREZZA IN INTERNET IL PRODOTTO VORTAL

ALLEGATO TECNICO SUL MODELLO DI SICUREZZA IN INTERNET IL PRODOTTO VORTAL ALLEGATO TECNICO SUL MODELLO DI SICUREZZA IN INTERNET IL PRODOTTO VORTAL 1 Introduzione Il mondo del Web ha assunto negli ultimi anni una forza dirompente su tutti i fronti della comunicazione e della

Dettagli

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI 1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI Per implementare una piattaforma di e-learning occorre considerare diversi aspetti organizzativi, gestionali e tecnici legati essenzialmente

Dettagli

Questo punto richiederebbe uno sviluppo molto articolato che però a mio avviso va al di là delle possibilità fornite al candidato dal tempo a disposizione. Mi limiterò quindi ad indicare dei criteri di

Dettagli

DD - Design Document

DD - Design Document Politecnico di Milano Progetto di Ingegneria del Software 2 DD - Design Document Autori: Claudia Foglieni Giovanni Matteo Fumarola Massimo Maggi Professori: Elisabetta Di Nitto Raffaela Mirandola 1 gennaio

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.6 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

WHITE PAPER Per Sql-Injection si intendono comunemente tutti quegli attacchi ad un'applicazione, solitamente Web, in cui il programma esegue query su di un database SQL utilizzando variabili passate dall'utente

Dettagli

Guida Utente della PddConsole. Guida Utente della PddConsole

Guida Utente della PddConsole. Guida Utente della PddConsole Guida Utente della PddConsole i Guida Utente della PddConsole Guida Utente della PddConsole ii Copyright 2005-2015 Link.it srl Guida Utente della PddConsole iii Indice 1 Introduzione 1 2 I protocolli di

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET

18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET 18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso ai database

Dettagli

Concetti base. Impianti Informatici. Web application

Concetti base. Impianti Informatici. Web application Concetti base Web application La diffusione del World Wide Web 2 Supporto ai ricercatori Organizzazione documentazione Condivisione informazioni Scambio di informazioni di qualsiasi natura Chat Forum Intranet

Dettagli

Architetture Web. parte 1. Programmazione in Ambienti Distribuiti A.A. 2003-04

Architetture Web. parte 1. Programmazione in Ambienti Distribuiti A.A. 2003-04 Architetture Web parte 1 Programmazione in Ambienti Distribuiti A.A. 2003-04 Architetture Web (1) Modello a tre livelli in cui le interazioni tra livello presentazione e livello applicazione sono mediate

Dettagli

M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE Pag. 1/1 Sessione ordinaria 2009 Seconda prova scritta M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO DI ORDINAMENTO Indirizzo: INFORMATICA Tema di: INFORMATICA (Testo valevole per i corsi di

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Guida Utente della PddConsole. Guida Utente della PddConsole

Guida Utente della PddConsole. Guida Utente della PddConsole Guida Utente della PddConsole i Guida Utente della PddConsole Guida Utente della PddConsole ii Copyright 2005-2014 Link.it srl Guida Utente della PddConsole iii Indice 1 Introduzione 1 2 I protocolli di

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.7 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

OWASP Web Application Penetration Checklist. Versione 1.1

OWASP Web Application Penetration Checklist. Versione 1.1 Versione 1.1 14 Luglio 2004 Questo documento è rilasciato sotto la licenza GNU, e il copyright è proprietà della Fondazione OWASP. Siete pregati di leggere e comprendere le condizioni contenute in tale

Dettagli

Il Provvedimento del Garante

Il Provvedimento del Garante Il Provvedimento del Garante Il provvedimento del Garante per la Protezione dei dati personali relativo agli Amministratori di Sistema (AdS) Misure e accorgimenti prescritti ai titolari dei trattamenti

Dettagli

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1)

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Chiara Braghin chiara.braghin@unimi.it Le 2 maggiori vulnerabilità dei siti Web SQL Injection Il browser spedisce dell input

Dettagli

ITI M. FARADAY Programmazione modulare a.s. 2014-2015

ITI M. FARADAY Programmazione modulare a.s. 2014-2015 Indirizzo: INFORMATICA E TELECOMUNICAZIONI Disciplina: Informatica Docente:Maria Teresa Niro Classe: Quinta B Ore settimanali previste: 6 (3 ore Teoria - 3 ore Laboratorio) ITI M. FARADAY Programmazione

Dettagli

@CCEDO: Accessibilità, Sicurezza, Architettura

@CCEDO: Accessibilità, Sicurezza, Architettura Rev. 8, agg. Settembre 2014 @CCEDO: Accessibilità, Sicurezza, Architettura 1.1 Il Sistema di Gestione della Sicurezza Per quanto riguarda la gestione della Sicurezza, @ccedo è dotato di un sistema di autenticazione

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Applicazione: SIPER Servizi In linea per il PERsonale

Applicazione: SIPER Servizi In linea per il PERsonale Riusabilità del software - Catalogo delle applicazioni Gestione Personale Applicazione: SIPER Servizi In linea per il PERsonale Amministrazione: Consiglio Nazionale delle Ricerche (CNR) Responsabile dei

Dettagli

Attacchi - panoramica

Attacchi - panoramica Attacchi - panoramica Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@telmon.org Tecniche di attacco Più passaggi prima del destinatario (stepstones) Accesso da sistemi poco controllati

Dettagli

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it Vulnerabilità dei CMS Joomla, Wordpress, ecc. Articoli tratti dal sito html.it e informaticamente.pointblog.it -------------------------------------------------------------------------------------------------------------

Dettagli

BIMPublisher Manuale Tecnico

BIMPublisher Manuale Tecnico Manuale Tecnico Sommario 1 Cos è BIMPublisher...3 2 BIM Services Console...4 3 Installazione e prima configurazione...5 3.1 Configurazione...5 3.2 File di amministrazione...7 3.3 Database...7 3.4 Altre

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

SOFTWARE MAINTENANCE DESIGN

SOFTWARE MAINTENANCE DESIGN SOFTWARE MAINTENANCE DESIGN INTRODUZIONE... 1 1.1 Identificazione della richiesta di modifica... 2 1.2 Assegnazione di un numero di identificazione alla Change Request... 2 1.3 Classificazione del tipo

Dettagli

FileMaker 12. Guida ODBC e JDBC

FileMaker 12. Guida ODBC e JDBC FileMaker 12 Guida ODBC e JDBC 2004 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker, Inc.

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

JSIS JSIS L architettura JSIS

JSIS JSIS L architettura JSIS JSIS JSIS L architettura JSIS La piattaforma JSIS Java Solution Integrated Suites, interamente realizzata dai nostri laboratori di sviluppo software, è una soluzione che integra la gestione di diverse

Dettagli

Candidato: Luca Russo Docente: Prof. Raffaele Montella. 27 Marzo 2013

Candidato: Luca Russo Docente: Prof. Raffaele Montella. 27 Marzo 2013 e di e di Candidato: Luca Russo Docente: Corso di laurea in Informatica Applicata Facoltá di Scienze e Tecnologie Programmazione su Reti 27 Marzo 2013 Traccia d esame Sviluppare multitier con disaccoppiamento

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

Attacchi Web. Davide Marrone

Attacchi Web. Davide Marrone <davide@security.dico.unimi.it> Davide Marrone davide@security.dico.unimi.it Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione 22 gennaio 2007 Sommario Classificazione

Dettagli

PHP WEB DESIGNER/DEVELOPER

PHP WEB DESIGNER/DEVELOPER Dettaglio corso ID: Titolo corso: Tipologia corso: Costo totale del corso a persona (EURO): Organismo di formazione: Caratteristiche del percorso formativo PHP WEB DESIGNER/DEVELOPER Corsi di specializzazione

Dettagli

Operation Bloodninja. Phishing Campaign Analysis Report

Operation Bloodninja. Phishing Campaign Analysis Report Operation Bloodninja Phishing Campaign Analysis Report Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php...

Dettagli

WebRatio. L altra strada per il BPM. Web Models s.r.l. www.webratio.com contact@webratio.com 1 / 8

WebRatio. L altra strada per il BPM. Web Models s.r.l. www.webratio.com contact@webratio.com 1 / 8 WebRatio L altra strada per il BPM Web Models s.r.l. www.webratio.com contact@webratio.com 1 / 8 Il BPM Il BPM (Business Process Management) non è solo una tecnologia, ma più a grandi linee una disciplina

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com $whois Paolo Stagno Luca Poletti http://voidsec.com voidsec@voidsec.com Nell anno 2013: Aumento del 30% degli attacchi a siti e web application 14 zero-day 5,291 nuove vulnerabilità scoperte, 415 di queste

Dettagli

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione

Dettagli

Istituto Tecnico Industriale Statale Dionigi Scano Cagliari. Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014.

Istituto Tecnico Industriale Statale Dionigi Scano Cagliari. Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014. Istituto Tecnico Industriale Statale Dionigi Scano Cagliari Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014 relate Un esperimento di social networking open source 1 Introduzione

Dettagli

LA TECNOLOGIA CONTRO L HACKING

LA TECNOLOGIA CONTRO L HACKING LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB Studente: Nigro Carlo N.mat.: 145559 Tema: Negozio virtuale Nome sito: INFOTECH Url: http://spaw.ce.unipr.it/progetti/infotech Per il progetto

Dettagli

Meet O Matic. Design Document. Autori: Matteo Maggioni Luca Mantovani. Matricola: 721923 721014

Meet O Matic. Design Document. Autori: Matteo Maggioni Luca Mantovani. Matricola: 721923 721014 Meet O Matic Design Document Autori: Matteo Maggioni Luca Mantovani Matricola: 721923 721014 1 Indice 1 Introduzione 4 2 Architettura 4 3 Definizione della base di dati 6 3.1 Tabelle, campi e chiavi primarie.................

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

2009. STR S.p.A. u.s. Tutti i diritti riservati

2009. STR S.p.A. u.s. Tutti i diritti riservati 2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

Considera tutti i requisiti funzionali (use cases) NON deve necessariamente modellare i requisiti non funzionali

Considera tutti i requisiti funzionali (use cases) NON deve necessariamente modellare i requisiti non funzionali Corso di Laurea Specialistica in Ingegneria Informatica Corso di Ingegneria del Software A. A. 2008 - Progettazione OO E. TINELLI Punto di Partenza Il modello di analisi E una rappresentazione minima del

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Punti fondamentali sulla tecnologia del sistema ABScard

Punti fondamentali sulla tecnologia del sistema ABScard Punti fondamentali sulla tecnologia del sistema ABScard Architettura ABSCARD Pagina 1 di 13 INDICE GENERALE 1 Architettura...3 1.1 Introduzione...3 1.1.1 Sicurezza...4 1.1.2 Gestione...5 1.1.3 ABScard

Dettagli

Soluzioni di strong authentication per il controllo degli accessi

Soluzioni di strong authentication per il controllo degli accessi Abax Bank Soluzioni di strong authentication per il controllo degli accessi Allegato Tecnico Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

PROGRAMMAZIONE DISCIPLINARE D ISTITUTO a.s. 2014/2015 SECONDO BIENNIO LICEO SCIENTIFICO OPZIONE SCIENZE APPLICATE

PROGRAMMAZIONE DISCIPLINARE D ISTITUTO a.s. 2014/2015 SECONDO BIENNIO LICEO SCIENTIFICO OPZIONE SCIENZE APPLICATE ISIS"Giulio Natta" Bergamo pag. 1 di 5 SECONDO BIENNIO LICEO SCIENTIFICO OPZIONE SCIENZE APPLICATE Disciplina INFORMATICA monte ore annuale previsto (n. ore settimanali per 33 settimane) 2X33 = 66 OBIETTIVI

Dettagli

RenderCAD S.r.l. Formazione

RenderCAD S.r.l. Formazione Corso Descrizione La durata di questo corso è complessivamente di ore 150 di cui 85 ore di teoria, 35 ore di pratica e 30 ore di stage in azienda. Nel nostro territorio esiste una richiesta di tale figura,

Dettagli

Database e reti. Piero Gallo Pasquale Sirsi

Database e reti. Piero Gallo Pasquale Sirsi Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente

Dettagli

ISTITUTO STATALE D ISTRUZIONE SUPERIORE FERRARIS - BRUNELLESCHI EMPOLI

ISTITUTO STATALE D ISTRUZIONE SUPERIORE FERRARIS - BRUNELLESCHI EMPOLI ISTITUTO STATALE D ISTRUZIONE SUPERIORE FERRARIS - BRUNELLESCHI EMPOLI Anno scolastico 2014/2015 Classe: 5^A inf Prof.ssa C. Lami Prof. S. Calugi Materia: INFORMATICA GENERALE, APPLICAZIONI TECNICO SCIENTIFICHE

Dettagli

Strutture di accesso ai dati

Strutture di accesso ai dati Strutture di accesso ai dati 1 A L B E R T O B E L U S S I P A R T E I I A N N O A C C A D E M I C O 2 0 1 0-2 0 1 1 Gestore dei metodi di accesso 2 E il modulo del DBMS che trasforma il piano di esecuzione

Dettagli

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii Indice generale Introduzione...xiii Capitolo 1 La sicurezza nel mondo delle applicazioni web...1 La sicurezza delle informazioni in sintesi... 1 Primi approcci con le soluzioni formali... 2 Introduzione

Dettagli

Guida Utente della PddConsole. Guida Utente della PddConsole

Guida Utente della PddConsole. Guida Utente della PddConsole Guida Utente della PddConsole i Guida Utente della PddConsole Guida Utente della PddConsole ii Copyright 2005-2014 Link.it srl Guida Utente della PddConsole iii Indice 1 Introduzione 1 2 Prerequisiti per

Dettagli

Vulnerabilità in Apache Tomcat

Vulnerabilità in Apache Tomcat Vulnerabilità in Apache Tomcat L evoluzione della specie il mondo della sicurezza è una giungla! SMAU 2008 Di cosa parliamo oggi... Quali sono le principali vulnerabilità scoperte in Apache Tomcat Come

Dettagli

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Simona Ullo ATTACCHI ALLE APPLICAZIONI WEB: SQL INJECTION E CROSS SITE SCRIPTING (XSS) Tesina di Sicurezza

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli