Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio"

Transcript

1 Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Progetto per il corso di Argomenti Avanzati di Sistemi Informativi. Prof. Ceri, Ing. Brambilla Politecnico di Milano 31 Maggio 2005 Luca Carettoni (667031) Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 1

2 Sommario Introduzione 3 Applicazioni e Sicurezza in ambiente web Introduzione 6 Vulnerabilità. Esempi di applicazioni reali Introduzione 9 Web Hacking Methodology per le applicazioni WebML/WebRatio Sicurezza intrinseca del Modello WebML 10 Valutazione dei rischi associati a ciascun elemento del modello Analisi sulla sicurezza delle applicazioni generate con WebRatio 14 Casi di studio: Applicazione Acme e Gestione Corsi Profiling 14 Tentativi di attacco alla piattaforma di deployment 19 Tentativi di attacco ai meccanismi di autenticazione 20 Tentativi di attacco ai meccanismi di autorizzazione 23 Tentativi di attacco alla gestione delle sessioni 26 Problematiche di Input Validation 27 Tentativi di attacco alla base di dati 29 Conclusioni 31 Considerazioni finali sulla sicurezza. Accorgimenti e Tecnologie Bibliografia 33 Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 2

3 Introduzione Applicazioni e Sicurezza in ambiente web In questo documento si presenta un lavoro di analisi volto alla valutazione della sicurezza delle applicazioni web realizzate attraverso il modello WebML ed il relativo tool di sviluppo WebRatio. Questa nuova metodologia consente di effettuare uno sviluppo efficiente delle applicazioni data intensive. Consapevoli dell enorme potenzialità dello strumento, in questa analisi preliminare, vogliamo valutare la sicurezza delle applicazioni considerando come, in ambito web, sia difficile garantire i tre paradigmi fondamentali della sicurezza: integrità, confidenzialità e disponibilità. Con la progressiva diffusione di architetture distribuite, aperte e flessibili, garantire la sicurezza e l integrità dei sistemi informativi aziendali è diventato un compito realmente complesso. Se da un lato, la diffusione delle web applications (WA) ha portato evidenti benefici, dall altro ha evidenziato l intrinseca insicurezza delle applicazioni stesse. Le WA costituiscono senza dubbio uno dei terreni più fertili per l exploiting di vulnerabilità, per differenti ragioni: Il web nasce come rete di scambio di informazioni trusted. L espansione a ritmi esponenziali delle infrastrutture hardware e software ha tuttavia snaturato questa idea. Il principio base del TCP, secondo uno dei pionieri di Internet Jon Postel, era (ed è) di fare molta attenzione ai dati inviati, e di accettare di buon grado i dati ricevuti (RFC 793, Settembre 1981). Questo poteva valere agli albori del WWW, ma non certo ora; Le WA possono vantare un grandissimo bacino di utenza, essendo per loro natura fruibili via Web e intrinsecamente aperte alla comunicazione remota; La distanza fisica, propria delle applicazioni remote, è un ulteriore elemento di incoraggiamento alle azioni illecite nel mondo del Web, poichè offre l opportunità di mascherare la propria identità e sfruttare la molteplicità dei collegamenti nel cammino end-to-end per alterare diversi parametri dei messaggi in transito; Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 3

4 Le WA hanno spesso accesso, per necessità oggettive, a basi di dati che possono contenere dati sensibili (e quindi attraenti per un utente malintenzionato); Esistono differenti tecnologie per la costruzione di WA, tutte orientate all immediatezza e alla semplicità d uso. Costruire applicazioni web è spesso veloce ed economico anche per personale non qualificato sotto il profilo della sicurezza; Il fatto che la parte legata all infrastruttura di rete nel sistema informativo aziendale sia sempre più sicuro (si pensi a diverse soluzioni quali antivirus, firewall e IDS) sposta automaticamente l interesse degli attacker sulle interfacce pubbliche delle WA. La costruzione di WA sicure è una costante sfida, poichè, se da un lato migliorano i mezzi nelle mani di chi deve garantire la sicurezza, dall altro gli stessi strumenti possono giocare a favore di chi tende a destabilizzarla. Da un studio realizzato da Imperva Inc. emerge uno scenario abbastanza allarmante: i dati divulgati si riferiscono al periodo , e riportano un generale trend di crescita per quanto concerne la presenza di vulnerabilità nelle WA: prima fra tutte il tampering dei parametri, seguita dalla incorretta gestione dei permessi ed alle note problematiche di SQL Injection e Cross-Site Scripting. Le vulnerabilità che causano i maggiori danni sono quelle correlate alla mancata validazione dell input dell utente, ovvero quelle che scaturiscono dall uso di parametri che ricevono assegnamenti da input esterno e che non subiscono un adeguata trafila di controllo. Directory Traversal Cookie Poisoning Buffer Overflow Forcefull Browsing Brute Force Denial of Service Known Vulnerabilities Session Hijacking 4% 6% 4% 5% 3% 2% 2% 3% 16% Parameter Tampering 13% Permissions Improper Management Source Disclosure 7% 10% Access of Internal Modules 8% 8% 9% SQL Injection Information Gathering Cross-Site Scripting Percentuali di vulnerabilità riscontrate dai penetration test Imperva Inc. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 4

5 Sebbene i dati presentati dovrebbero suggerire di considerare la sicurezza delle applicazioni come un requisito paragonabile a quelli funzionali, solo in questi ultimi anni si sta cercando di porre attenzione a tale aspetto. OWASP (Open Web Application Security Project) sta cercando di definire delle metodologie standard da adottare durante lo sviluppo del software stesso ma, ad oggi, non esistono ancora soluzioni o schemi formali, ma solamente linee guida. Risulta altrettanto difficile definire una metodologia per la verifica di tali requisiti. Non esiste ancora una pallottola d argento per la sicurezza in ambito web, anche se alcune società del settore tendono a farlo credere. Per risolvere questa sfida occorrono persone capaci, grande conoscenza e ottima formazione, ottimi processi e il meglio della tecnologia. Mark Curphey - OWASP Founder Al fine di realizzare una valutazione quanto più metodologica possibile rispetto al singolo caso in esame (nel nostro caso quello delle applicazioni generate con WebRatio) cercheremo comunque di definire una serie di passi di verifica che abbiamo effettuato e che di fatto risultano essere lo schema classico eseguito da un attacker. Trattandosi di una valutazione preliminare, la possibilità di tracciare sistematicamente le verifiche effettivamente eseguite permette di analizzare successivamente alcuni dettagli che sono risultati fragili piuttosto che cercare di forzare meccanismi che in prima analisi sono risultati sicuri, evitando di indurre sensazioni di falsa sicurezza che accomunano qualsiasi Vulnerability Assessment. Prima di ciò, presentiamo brevemente alcune classiche vulnerabilità che affliggono le web applications, in maniera da padroneggiare le problematiche che analizzeremo all interno delle applicazioni. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 5

6 Introduzione Vulnerabilità. Esempi di applicazioni reali [SQL INJECTION] L sql injection è una tecnica di attacco basata sull inserimento di valori untrusted all interno di una query sql, con l obiettivo di eseguire del codice sql arbitrario. Consideriamo il problema presente in una vecchia versione di Squirrel Mail (un applicativo di webmail integrato sviluppato in PHP4) e in particolare dell address book, il quale si appoggia ad un db (MYSQL) per il salvataggio delle informazioni. Riportiamo, per completezza, la struttura della tabella address alla quale faremo riferimento: CREATE TABLE address ( owner varchar(50) default NULL, nickname varchar(50) default NULL, firstname varchar(50) default NULL, lastname varchar(50) default NULL, varchar(50) default NULL, label varchar(50) default NULL) Nella versione all interno della pagina squirrelmail/squirrelmail/functions/abook_database.php é presente la seguente query: $query = sprintf("select * FROM %s WHERE owner= %s AND nickname= %s ", $this->table, $this->owner, $alias); $res = $this->dbh->query($query); In nessun punto precedente del codice viene effettuato un controllo sul contenuto delle variabili e, poichè tale valore è modificabile dall utente, il mancato controllo di validazione dell input rappresenta la giusta collocazione per un attacco di questo tipo. Se per esempio la variabile $alias contenesse la seguente stringa: Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 6

7 UNION ALL SELECT * FROM address WHERE = tale segmento di codice genererebbe la seguente istruzione sql: SELECT * FROM address WHERE owner= me AND nickname= UNION ALL SELECT * FROM address WHERE = Supponendo che non ci sia nessun utente con il campo nickname vuoto, la prima SELECT non restituirà risultati, mentre la seconda, poichè costruita con una clausola WHERE incondizionata, ritornerà tutte le tuple contenute nel database. L utilizzo del comando sql di aliasing (AS) permette poi di bypassare i problemi di visualizzazione dei risultati della query. [Cross-Site Scripting (XSS)] All interno di questa tipologia di attacchi rientrano tutti quei casi in cui l aggressore ha la possibilità di inserire, all interno della web application, del codice arbitrario così da modificarne il comportamento per perseguire i propri fini illeciti. Mostriamo ora un altra vulnerabilità presente in una vecchia versione di Squirrel Mail in cui è presente un problema di XSS, dovuto ad un controllo non adeguato sui parametri in ingresso. $day=$_get[ day ]; $month=$_get[ month ]; $year=$_get[ year ]; echo"<a href=\"day.php?year=$year&" echo"month=$month&day=$day\">"; In questa parte dello script, le variabili rappresentanti il giorno, mese e anno vengono prelevate da una precedente http_request, per comporre una nuova pagina html. Senza aver effettuato alcun controllo sul contenuto delle variabili queste potranno essere usate per inserire del codice maligno da far eseguire direttamente all utente stesso. Inserendo quindi una stringa del tipo: e convincendo l utente ad aprire tale url (per esempio tramite un o eventuale segnalazione su forum pubblici) è possibile eseguire comandi che hanno gli stessi privilegi del server web stesso. Questa situazione è l ideale per attacchi di session hijacking in cui poter prelevare cookies ed altre informazioni sensibili all utente stesso. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 7

8 L html di risposta alla richiesta http dell utente è infatti: <a href="day.php?year=><script>mycode();</script> ed il parametro year, ora riempito con la funzione mycode è il mezzo attraverso il quale eseguire del codice arbitrario. [Transversal Directory Attack] Consideriamo una nuova applicazione e vediamo, ancora una volta, come semplici dimenticanze sulla validazione degli input producono problemi seri per quanto riguarda la sicurezza dell applicazione. In questo caso parliamo di phpmyadmin (tool sviluppato in PHP per la completa amministrazione di MySQL attraverso un interfaccia web). Sino alla versione 2.5.x di tale software è presente un problema di sicurezza rientrante nella categoria delle Directory Transversal Vulnerability, tramite il quale risulta possibile effettuare il listing di una directory del web server che ospita l applicazione. Inviando un richiesta formulata nel seguente modo al file \db\details_importdocsql.php e sostituendo a TRANSVERSAL_PATH l opportuno path per la directory di cui vogliamo avere il listing, riusciamo senza nessun problema ad ottenere il risultato sperato. Sostituendo, per esempio../../../ è quindi possibile mostrare il contenuto della root. Sebbene in questo modo sia unicamente possibile visualizzare l elenco dei file presenti, e non richiedere i file stessi, tale attacco può comunque essere un ottima base di partenza per ottenere maggiori informazioni sulla vittima nonchè per scoprire eventuali pagine pubblicate nel webserver (magari usate come test), ma non collegate pubblicamente al sito. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 8

9 Introduzione Web Hacking Methodology per le applicazioni WebML/WebRatio Come accennato precedentemente, sebbene non risulta possibile definire una metodologia universale di Vulnerability assessment, possiamo tentare di tracciare delle linee guida utilizzate durante l analisi delle applicazioni WebML/WebRatio. In primo luogo occorre distinguere due livelli di sicurezza: 1. Considerando il modello concettuale WebML, cercheremo di effettuare un mapping tra gli elementi appartenenti a tale modello ed un valutazione dei rischi associati. Questa analisi a livello di modello astratto non ci porterà alla reale scoperta di vulnerabilità, ma servirà per iniziare ad identificare gli eventuali punti deboli della catena. 2. Considerando invece l implementazione reale dell applicazione web progettata, il cui codice viene generato automaticamente tramite WebRatio, ed effettuando diversi test di tipo black-box oppure white-box, cercheremo di scoprire gli effettivi punti deboli di tali sistemi. In particolare, a questo livello, adotteremo un analisi basata sui seguenti punti: 1. Profiling (analisi e utilizzo ragionato dell applicazione) 2. Tentativi di attacco alla piattaforma di deployment (poichè di fatto integrata nello strumento) 3. Tentativi di attacco ai meccanismi di autenticazione 4. Tentativi di attacco ai meccanismi di autorizzazione 5. Tentativi di attacco alla gestione delle sessioni 6. Problematiche di Input Validation 7. Tentativi di attacco alla base di dati All interno di questo documento, nella parte dedicata all exploiting dell applicazione, manterremo tale struttura. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 9

10 Sicurezza intrinseca del Modello WebML Valutazione dei rischi associati a ciascun elemento del modello Analizzare la sicurezza di un software significa anche capire come tale applicazione viene prodotta e con quali metodologie e tecnologie vengono implementate le varie soluzioni. Il modello WebML è il riferimento teorico per il tool di web design WebRatio. Proprio questa formalizzazione teorica alla base di un IDE per lo sviluppo di software assicura al prodotto finale delle buone caratteristiche di versatilità ed ingegnerizzazione. Se da un lato la presenza di un modello formalmente definito è un aspetto vincente della tecnologia dall altro, la modalità con cui qualsiasi strumento di sviluppo (come è di fatto WebRatio) realizza effettivamente l applicazione può essere uno dei principali punti deboli a questo livello di astrazione. Avere un determinato design pattern utilizzato per creare un applicazione web significa, a livello di prodotto finale, ottenere la medesima implementazione con pregi e difetti. Se l implementazione di un determinato pattern presenta dei problemi di sicurezza, essi saranno presenti in tutte le sue istanze. Dal punto di vista tecnico è un vantaggio enorme per l aggressore poter conoscere la modalità con cui tale codice viene scritto e conoscere per esempio i meccanismi di login. In questo senso alcune applicazioni diventano analizzabili tramite test di tipo white-box, sebbene l aggressore possa accedere solamente da remoto. Esso infatti potrebbe riprodurre parti dell applicazione in locale per studiarne il comportamento. Queste affermazioni sono giustificate dal fatto che, sebbene non sia possibile basare la sicurezza di un sistema unicamente sulla security by obscurity, spesso può essere un ottimo deterrente per le persone meno preparate tecnicamente (script kiddies, etc). Il riuso di parti dell applicazione, caratteristica fondamentale per strumenti di questo tipo, permette all aggressore di definirsi degli schemi mentali sul funzionamento del sistema rendendo più semplice la fase di profiling. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 10

11 Per velocizzare la fase di prototipazione, WebML include molteplici scorciatoie per ottenere in breve tempo un applicazione up and running da specifiche incomplete. Per esempio è definita una regola in cui ad ogni entità del modello dei dati è generato automaticamente una data unit con l inclusione di tutti gli attributi. Durante uno sviluppo di software attento agli aspetti legati alla sicurezza del prodotto, la regola che dovrebbe accompagnare lo sviluppo è quella del tanta informazione quanto basta!. Queste ed altre semplificazioni per lo sviluppo, fornite dal modello, possono risultare poco attente agli aspetti della sicurezza sebbene non rappresentino di sicuro problemi critici. Se da un lato, avere un modello intrinsecamente pone la serie di problemi che abbiamo accennato, dall altro permette una verifica puntuale di alcuni requisiti. WebML definisce il concetto di validità dell hypertext attraverso una serie di nozioni di correttezza tra le quali anche la raggiungibilià. Uno dei problemi che affligge le applicazioni web nella fase del deployment (e spesso per tutta la durata del sistema stesso!) è l utilizzo da parte dei tecnici di eventuali pagine di test non direttamente collegate alle pagine visibilmente accessibili. Non sono rari i casi in cui le aggressioni vengono compiute attraverso pagine chiamate test.php, debug.asp, sqlquery.jsp, etc. Un problema concettualmente semplicissimo, che spesso però esiste a causa della negligenza del personale tecnico. WebML non permette la presenza di pagine (con l eccezione dell homepage) che non abbiano link in ingresso (contestuali o non). Il formalismo teorico alla base dello sviluppo fornisce in questo senso un meccanismo robusto per la verifica di tali caratteristiche. La personalizzazione dell applicazione stessa è fondamentale per supportare lo sviluppo di applicazioni in contesti applicativi quali i siti di e-commerce, online community, etc. WebML include la nozione di utente e gruppo di utenti, tipica dei sistemi multiutente. Da un lato questa caratteristica è fondamentale per associare permessi ed effettuare un controllo sulle azioni consentite; dall altro la generazione automatica di codice associato al modello permette di ricavare un mapping rispetto ai meccanismi realmente implementati dai metodi di controllo d accesso (campi del database, forms, etc). Tali informazioni possono essere realmente preziose durante un attacco informatico. Dopo questa panoramica sui possibili problemi connessi al modello, vogliamo ora presentare un tabella riassuntiva degli elementi principali del modello cercando di definire il loro ruolo per la messa in sicurezza dell applicazione: Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 11

12 Elemento del modello Simbolo Tipologia di attacco Note Data/Multidata unit Entry unit Set/Get unit Create/Delete/Modify/ Connect/Disconnect unit Login/Logout unit Sendmail unit Unvalidated input(sql injection); Improper Error Handling; Insecure Storage Unvalidated input (code injection); Cross Site Scripting; Injection Flaws Unvalidated Input; Broken Session Management; Cross Site Scripting Unvalidated input(sql injection); Improper Error Handling; Insecure Storage Broken Authentication; Improper Error Handling; Unvalidated input Injection Flaws; Improper Error Handling; Rappresentano la fonte principale di informazioni alle quali l aggressore può essere interessato. Rappresentano il punto di accesso di molti degli attacchi basati su injection. Importante la validazione dell input. Principale mecanismo di autenticazione nei siti web attuali. Importante la validazione dell input. Generic operation Links Buffer Overflows; Injection Flaws; Denial of Service Unvalidated input; Cross Site Scripting; Injection Flaws Potendo associare operazioni generiche lato server bisogna porre attenzione ad ogni singola istanza. Principale veicolo di injection dopo l inserimento diretto dai forms. Ogni parametro andrebbe validato. Valutazione degli elementi del modello secondo la denominazione OWASP Top Ten. In conclusione, durante questa prima fase dell analisi, si vuole evidenziare come il modello risulti fondamentalmente sicuro, senza grossi problemi di coerenza strutturale o di altro tipo. Come per molti altri sistemi (dispositivi hardware, stack dei protocolli, etc.) spesso è l implementazione che introduce imperfezioni ed errori che minano la sicurezza dell architettura. Al di là dei problemi precedentemente individuati (presenza di patterns, standardizzazione dei parametri, etc.), tipici dei sistemi fortemente automatizzati, è da sottolineare come anche Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 12

13 nel caso di WebML/WebRatio sia necessario che delle persone competenti anche in materia di sicurezza svolgano lo sviluppo e il deployment. Sebbene il framework tecnologico nasce per permettere lo sviluppo di applicazioni web in maniera facile ed efficiente anche a persone con skills differenti (grazie alla separazione degli aspetti di strutturazione dei dati, composizione e presentazione) è indispensabile, al fine della sicurezza, che al termine della prototipazione vengano di fatto svolte opportune analisi per validarne la sicurezza, per modificare punti critici e per aggiungere manualmente meccanismi di controllo e validazione. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 13

14 Analisi sulla sicurezza delle applicazioni generate con WebRatio Casi di studio: Applicazione Acme e Gestione Corsi Dopo aver effettuato delle considerazioni di carattere generale sul modello, cerchiamo di analizzare in dettaglio alcune applicazioni generate utilizzando questo approccio. La ricerca di vulnerabilità non ha nessuna pretesa di realizzare un Vulnerability Assessment completo, che richiederebbe certamente un impiego di risorse e competenze differenti, ma solamente di evidenziare alcuni punti critici presenti nelle applicazioni sotto esame. Per i test effettuati è stata utilizzata una piattaforma Linux con kernel gentoo-r5, WebRatio 4.0 rev 11 Academic Trial Version, Jsp 1.2, PostgreSQL ver r2 e MySQL ver Durante l analisi, sono state utilizzate la demo fornita nel package di WebRatio (Acme) e un applicazione sviluppata in ambito universitario per la gestione di corsi (Gestione Corsi) da F.Merlo, M.Miraz e A.Naggi. Dopo aver opportunamente configurato l application server e il database di backend (opportunamente popolato con la funzione automatica Create Filled Data Mapping ), abbiamo effettuato il deployment tramite la generazione automatica del codice fornita dallo strumento WebRatio. Seguendo la metodologia di web hacking illustrata durante l introduzione, procediamo in ordine dal profiling dell applicazione ai tentativi di attacco alla base di dati. Nel seguito non riporteremo in maniera sistematica tutti i passaggi svolti, ma solamente i risultati di ogni fase dell analisi su una delle due applicazioni analizzate. Profiling Effettuare del profiling su un applicazione web significa effettuare un identificazione degli ip, delle porte e delle specifiche versioni dei servizi (e del sistema operativo stesso) presente sul server, ma anche iniziare a farsi un idea sull applicazione che bisogna analizzare. La componente base di questo tipo di analisi è la semplice intuizione e la pazienza di esplorare e provare ogni singola funzionalità del sito stesso. In questa fase è necessario anche capire Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 14

15 il funzionamento e la struttura dell applicazione, fruendo del servizio come un qualunque altro utente. Per testare qualche piccola funzionalità si può eventualmente iniziare ad inserire input differenti da quelli ragionevolmenti attesi per una tale operazione. Usare, per esempio, campi numerici dove si pensa siano attesi solo stringhe, uso di caratteri strani (, %,&,../,/,*,#), etc. Per effettuare il profiling del web server e dell applicazione, abbiamo utilizzato anche tools comuni per questo tipo di scanning come Nmap, Amap (Application Scanner), Nessus e Nikto (Vulnerabilty Scanning for Web Application). Gli ultimi due, in particolare, oltre ad effettuare una scansione del sistema, svolgono il ruolo di veri e propri tools per Vulnerability Assessment in quanto, attraverso un database di vulnerabilità note, cercano di trovare un matching con la versione dei servizi effettivamente presente. L utilizzo di questi strumenti è un ottimo complemento all auditing manuale che però non può essere sostituito dalla semplice scansione automatica. E evidente come effettuare il profiling in modalità black-box da remoto sia molto diverso dall eseguire lo stesso lavoro disponendo di una metodologia formale come WebML. Nel primo caso, il lavoro necessita di molto tempo e spesso non si riesce durante questa fase ad avere una piena coscienza del funzionamento dell applicazione nel suo complesso. Disponendo invece di uno strumento quale WebRatio, che permette di ottenere una rappresentazione chiara della singola applicazione, questo procedimento può essere notevolmente semplificato. Per questo aspetto, l utilizzo di strumenti di modellazione è da consigliarsi per aiutare lo sviluppatore a mantenere una visione di insieme dell applicazione e al security tester per comprenderne in breve tempo i meccanismi di funzionamento. Una breve introduzione alle due applicazioni, prima di procedere con il profiling della piattaforma: Acme è un applicazione demo per la gestione di un catalogo di prodotti online. L intero progetto è divisibile in due Site View separate: una dedicata alla presentazione dei prodotti e una per l amministrazione del catalogo. L utente, accedendo alla sezione pubblica può visionare i prodotti, leggere i dettagli di un determinato prodotto, effettuare ricerche nel catalogo, trovare le offerte del momento e i negozi più vicini per fare acquisti. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 15

16 Nella sezione amministrazione invece è possibile gestire completamente tali informazioni inserendo e/o modificando nuovi prodotti, offerte e stores. L applicazione Acme Gestione Corsi è un applicazione completa per la gestione di corsi didattici. Anche in questo caso è possibile distinguere cinque Site View differenti che coincidono con i differenti profili di utenti interessati ad accedere alle informazioni (Docenti, Visitatori anonimi, Partecipanti ai corsi, Segreteria didattica e Aziende per le quali sono effettuati i corsi). Nella sezione pubblica è possibile visionare i corsi ed informazioni sui docenti. Accedendo attraverso un login, è possibile gestire le informazioni legate ai corsi in base alle proprie credenziali di accesso (la segreteria può definire nuovi corsi, i docenti associati, le aziende per le quali effettuare i corsi, i partecipanti e la gestione dei pagamenti. Il partecipante può accedere al proprio profilo, scaricare il materiale utile, etc.) Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 16

17 L applicazione Gestione Corsi Consideriamo ora la piattaforma su cui sono eseguite le applicazioni. Se spesso, durante le analisi legate alla sicurezza delle applicazioni, gli aspetti di configurazione del server non sono interessanti, nel caso di WebRatio, è estremamente importante considerarle in quanto, fornendo di fatto una piattaforma completa di sviluppo (deployment compreso, grazie alla presenza di Tomcat), l applicazione potrebbe essere utilizzata direttamente attraverso questa modalità. Sicuramente utilizzare un servizio di application server stand-alone opportunamente configurato sulla macchina adibita a server rappresenta la soluzione migliore in termini di sicurezza e perfomance. Anche perchè con tale configurazione è possibile gestire la macchina in maniera completa effettuando, per esempio, aggiornamenti automatici. WebRatio integra Apache Jakarta Tomcat (Servlet/JSP Spec 2.2/1.1 oppure 2.3/1.2). In maniera remota un aggressore esterno potrebbe effettuare un port scanning cercando di fare banner grabbing o fingerprinting per risalire alla specifica versione dell application server. In effetti utilizzando il tool nmap (http://www.insecure.org/nmap/) con l opzione -sv è possibile capire da remoto che sulla macchina è installato un servizio Apache/Tomcat 1.1 sulla porta Le stesse osservazioni potevano essere fatte considerando la presenza del servizio ajp13 sulla porta Infatti il JK Connector è installato di default con Tomcat e serve per comunicare Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 17

18 tramite il protocollo AJP con un eventuale installazione già presente di Apache per far gestire ad Apache stesso le richieste a pagine statiche e l eventuale SSL layer. Utilizzando inoltre Nikto, oltre a confermare quanto detto precedentemente, è possibile appurare che l installazione presente è una configurazione base di Tomcat. Nella versione standard sono presenti ancora i servizi di management, degli esempi applicativi ed altri file che potrebbero essere usati dall aggressore per compromettere il sistema, oltre ad una serie di configurazioni poco sicure (per esempio, il directory listings). Port Scanning sul server in cui WebRatio effettua il deployment Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 18

19 Scansione effettuata con il tool Nikto Tentativi di attacco alla piattaforma di deployment Come abbiamo potuto capire dalla fase precedente, la piattaforma su cui WebRatio effettua il deployment automatico deve assolutamente essere considerata una piattaforma di testing, utilizzabile solamente durante lo sviluppo. La versione di Tomcat installata non è per nulla configurata ed inoltre è presumibile che non sia nemmeno aggiornata. Nelle liste in cui vengono raccolti i Security Advisor è già presente un grosso elenco di vulnerabilità che affligge la versione Ne riportiamo a titolo di esempio uno, che potrebbe compromettere la disponibilità del servizio: Name: Description: CAN (under review) Apache Tomcat before 5.x allows remote attackers to cause a denial of service (application crash) via a crafted AJP packets. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 19

20 Name: CAN (under review) Phase: Assigned ( ) La criticità dell installazione può essere infatti confermata attraverso il tool Nessus (http://www.nessus.org/) che riporta una serie di problematiche: per esempio un Cross Site Scripting (XSS) che permette all attaccante l inserimento di codice html o javascript che potrebbe venir successivamente presentato dal server al client legittimo. Un url maligno potrebbe essere: Tentativi di attacco ai meccanismi di autenticazione Sebbene in ambito web esistano diversi meccanismi di autenticazione (HTTP Authentication Basic, Digest, Integrated Windows), il più diffuso è sicuramente quello denominato Form- Based Authentication. WebRatio realizza un autenticazione basata unicamente su questo meccanismo attraverso il database sql di backend utilizzato per lo storage delle informazioni. Per ogni richiesta di login, effettuata tramite l immissione dello username e della password ed inviata tramite una http_request verso il server, viene effettuata una query al database server al fine di validare l identificazione fornita. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 20

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO Francesco Marchione e Dario Richichi Istituto Nazionale di Geofisica e Vulcanologia Sezione di Palermo Indice Introduzione...

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

BPEL: Business Process Execution Language

BPEL: Business Process Execution Language Ingegneria dei processi aziendali BPEL: Business Process Execution Language Ghilardi Dario 753708 Manenti Andrea 755454 Docente: Prof. Ernesto Damiani BPEL - definizione Business Process Execution Language

Dettagli

Dal punto di vista organizzativo sono possibili due soluzioni per il sistema di rete.

Dal punto di vista organizzativo sono possibili due soluzioni per il sistema di rete. Premessa. La traccia di questo anno integra richieste che possono essere ricondotte a due tipi di prove, informatica sistemi, senza lasciare spazio ad opzioni facoltative. Alcuni quesiti vanno oltre le

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

InitZero s.r.l. Via P. Calamandrei, 24-52100 Arezzo email: info@initzero.it

InitZero s.r.l. Via P. Calamandrei, 24-52100 Arezzo email: info@initzero.it izticket Il programma izticket permette la gestione delle chiamate di intervento tecnico. E un applicazione web, basata su un potente application server java, testata con i più diffusi browser (quali Firefox,

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

FileMaker Server 13. Pubblicazione Web personalizzata con PHP

FileMaker Server 13. Pubblicazione Web personalizzata con PHP FileMaker Server 13 Pubblicazione Web personalizzata con PHP 2007-2013 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 Stati Uniti FileMaker

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

SQL Injection: le tecniche, i tool ed esempi pratici OWASP. The OWASP Foundation

SQL Injection: le tecniche, i tool ed esempi pratici OWASP. The OWASP Foundation SQL Injection: le tecniche, i tool ed esempi pratici SMAU E- Academy 2006 Antonio Parata collaboratore -Italy http://www.ictsc.it antonio.parata@ictsc.it http://www.owasp.org/index.php/italy Copyright

Dettagli

Guida alla scansione su FTP

Guida alla scansione su FTP Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

Ing. Andrea Saccà. Stato civile: Celibe Nazionalità: Italiana Data di nascita: 9 Ottobre 1978 Luogo di nascita: Roma Residenza: Roma

Ing. Andrea Saccà. Stato civile: Celibe Nazionalità: Italiana Data di nascita: 9 Ottobre 1978 Luogo di nascita: Roma Residenza: Roma Indirizzo: Via dell'automobilismo, 109 00142 Roma (RM) Sito Web : http://www.andreasacca.com Telefono: 3776855061 Email : sacca.andrea@gmail.com PEC : andrea.sacca@pec.ording.roma.it Ing. Andrea Saccà

Dettagli

Università degli Studi di Parma. Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica

Università degli Studi di Parma. Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica Università degli Studi di Parma Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica A.A. 2007-08 CORSO DI INGEGNERIA DEL SOFTWARE Prof. Giulio Destri http://www.areasp.com (C) 2007 AreaSP for

Dettagli

AUL22: FactoryTalk View SE Scoprite i vantaggi chiave di una soluzione SCADA integrata

AUL22: FactoryTalk View SE Scoprite i vantaggi chiave di una soluzione SCADA integrata AUL22: FactoryTalk View SE Scoprite i vantaggi chiave di una soluzione SCADA integrata Giampiero Carboni Davide Travaglia David Board Rev 5058-CO900C Interfaccia operatore a livello di sito FactoryTalk

Dettagli

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a:

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a: Lab 4.1 Utilizzare FTP (File Tranfer Protocol) LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) In questa lezione imparerete a: Utilizzare altri servizi Internet, Collegarsi al servizio Telnet, Accedere

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello della Web Application 5 3 Struttura della web Application 6 4 Casi di utilizzo della Web

Dettagli

Come installare e configurare il software FileZilla

Come installare e configurare il software FileZilla Come utilizzare FileZilla per accedere ad un server FTP Con questo tutorial verrà mostrato come installare, configurare il software e accedere ad un server FTP, come ad esempio quello dedicato ai siti

Dettagli

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux.

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux. FAQ su GeCo Qual è la differenza tra la versione di GeCo con installer e quella portabile?... 2 Esiste la versione per Linux di GeCo?... 2 Quali sono le credenziali di accesso a GeCo?... 2 Ho smarrito

Dettagli

DBMS (Data Base Management System)

DBMS (Data Base Management System) Cos'è un Database I database o banche dati o base dati sono collezioni di dati, tra loro correlati, utilizzati per rappresentare una porzione del mondo reale. Sono strutturati in modo tale da consentire

Dettagli

SMS API. Documentazione Tecnica YouSMS SOAP API. YouSMS Evet Limited 2015 http://www.yousms.it

SMS API. Documentazione Tecnica YouSMS SOAP API. YouSMS Evet Limited 2015 http://www.yousms.it SMS API Documentazione Tecnica YouSMS SOAP API YouSMS Evet Limited 2015 http://www.yousms.it INDICE DEI CONTENUTI Introduzione... 2 Autenticazione & Sicurezza... 2 Username e Password... 2 Connessione

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

FORM Il sistema informativo di gestione della modulistica elettronica.

FORM Il sistema informativo di gestione della modulistica elettronica. Studio FORM FORM Il sistema informativo di gestione della modulistica elettronica. We believe in what we create This is FORM power La soluzione FORM permette di realizzare qualsiasi documento in formato

Dettagli

Basi di Dati prof. Letizia Tanca lucidi ispirati al libro Atzeni-Ceri-Paraboschi-Torlone. SQL: il DDL

Basi di Dati prof. Letizia Tanca lucidi ispirati al libro Atzeni-Ceri-Paraboschi-Torlone. SQL: il DDL Basi di Dati prof. Letizia Tanca lucidi ispirati al libro Atzeni-Ceri-Paraboschi-Torlone SQL: il DDL Parti del linguaggio SQL Definizione di basi di dati (Data Definition Language DDL) Linguaggio per modificare

Dettagli

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 Sistemi Web-Based - Terminologia Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 CLIENT: il client è il programma che richiede un servizio a un computer collegato in

Dettagli

Interfaccia Web per customizzare l interfaccia dei terminali e

Interfaccia Web per customizzare l interfaccia dei terminali e SIP - Session Initiation Protocol Il protocollo SIP (RFC 2543) è un protocollo di segnalazione e controllo in architettura peer-to-peer che opera al livello delle applicazioni e quindi sviluppato per stabilire

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

RSYNC e la sincronizzazione dei dati

RSYNC e la sincronizzazione dei dati RSYNC e la sincronizzazione dei dati Introduzione Questo breve documento intende spiegare come effettuare la sincronizzazione dei dati tra due sistemi, supponendo un sistema in produzione (master) ed uno

Dettagli

Luca Mari, Sistemi informativi applicati (reti di calcolatori) appunti delle lezioni. Architetture client/server: applicazioni client

Luca Mari, Sistemi informativi applicati (reti di calcolatori) appunti delle lezioni. Architetture client/server: applicazioni client Versione 25.4.05 Sistemi informativi applicati (reti di calcolatori): appunti delle lezioni Architetture client/server: applicazioni client 1 Architetture client/server: un esempio World wide web è un

Dettagli

La gestione documentale con il programma Filenet ed il suo utilizzo tramite la tecnologia.net. di Emanuele Mattei (emanuele.mattei[at]email.

La gestione documentale con il programma Filenet ed il suo utilizzo tramite la tecnologia.net. di Emanuele Mattei (emanuele.mattei[at]email. La gestione documentale con il programma Filenet ed il suo utilizzo tramite la tecnologia.net di Emanuele Mattei (emanuele.mattei[at]email.it) Introduzione In questa serie di articoli, vedremo come utilizzare

Dettagli

CORSO DI ALGORITMI E PROGRAMMAZIONE. JDBC Java DataBase Connectivity

CORSO DI ALGORITMI E PROGRAMMAZIONE. JDBC Java DataBase Connectivity CORSO DI ALGORITMI E PROGRAMMAZIONE JDBC Java DataBase Connectivity Anno Accademico 2002-2003 Accesso remoto al DB Istruzioni SQL Rete DataBase Utente Host client Server di DataBase Host server Accesso

Dettagli

Estensione di un servizo di messaggistica per telefonia mobile (per una società di agenti TuCSoN)

Estensione di un servizo di messaggistica per telefonia mobile (per una società di agenti TuCSoN) Estensione di un servizo di messaggistica per telefonia mobile (per una società di agenti TuCSoN) System Overview di Mattia Bargellini 1 CAPITOLO 1 1.1 Introduzione Il seguente progetto intende estendere

Dettagli

Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali

Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali Riusabilità del software - Catalogo delle applicazioni: Applicativo verticale Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali Amministrazione: Regione Piemonte - Direzione Innovazione,

Dettagli

Zabbix 4 Dummies. Dimitri Bellini, Zabbix Trainer Quadrata.it

Zabbix 4 Dummies. Dimitri Bellini, Zabbix Trainer Quadrata.it Zabbix 4 Dummies Dimitri Bellini, Zabbix Trainer Quadrata.it Relatore Nome: Biografia: Dimitri Bellini Decennale esperienza su sistemi operativi UX based, Storage Area Network, Array Management e tutto

Dettagli

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor NetMonitor Micro guida all uso per la versione 1.2.0 di NetMonitor Cos è NetMonitor? NetMonitor è un piccolo software per il monitoraggio dei dispositivi in rete. Permette di avere una panoramica sui dispositivi

Dettagli

Plesk Automation. Parallels. Domande tecniche più frequenti

Plesk Automation. Parallels. Domande tecniche più frequenti Parallels Plesk Automation Primo trimestre, 2013 Domande tecniche più frequenti Questo documento ha come scopo quello di rispondere alle domande tecniche che possono sorgere quando si installa e si utilizza

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it FIRESHOP.NET Gestione Utility & Configurazioni Rev. 2014.3.1 www.firesoft.it Sommario SOMMARIO Introduzione... 4 Impostare i dati della propria azienda... 5 Aggiornare il programma... 6 Controllare l integrità

Dettagli

Configuration Managment Configurare EC2 su AWS. Tutorial. Configuration Managment. Configurare il servizio EC2 su AWS. Pagina 1

Configuration Managment Configurare EC2 su AWS. Tutorial. Configuration Managment. Configurare il servizio EC2 su AWS. Pagina 1 Tutorial Configuration Managment Configurare il servizio EC2 su AWS Pagina 1 Sommario 1. INTRODUZIONE... 3 2. PROGRAMMI NECESSARI... 4 3. PANNELLO DI CONTROLLO... 5 4. CONFIGURARE E LANCIARE UN ISTANZA...

Dettagli

Manuale installazione KNOS

Manuale installazione KNOS Manuale installazione KNOS 1. PREREQUISITI... 3 1.1 PIATTAFORME CLIENT... 3 1.2 PIATTAFORME SERVER... 3 1.3 PIATTAFORME DATABASE... 3 1.4 ALTRE APPLICAZIONI LATO SERVER... 3 1.5 ALTRE APPLICAZIONI LATO

Dettagli

UML Component and Deployment diagram

UML Component and Deployment diagram UML Component and Deployment diagram Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di Catania I diagrammi UML Classificazione

Dettagli

PHP: form, cookies, sessioni e. Pasqualetti Veronica

PHP: form, cookies, sessioni e. Pasqualetti Veronica PHP: form, cookies, sessioni e mysql Pasqualetti Veronica Form HTML: sintassi dei form 2 Un form HTML è una finestra contenente vari elementi di controllo che consentono al visitatore di inserire informazioni.

Dettagli

AlboTop. Software di gestione Albo per Ordini Assistenti Sociali

AlboTop. Software di gestione Albo per Ordini Assistenti Sociali AlboTop Software di gestione Albo per Ordini Assistenti Sociali Introduzione AlboTop è il nuovo software della ISI Sviluppo Informatico per la gestione dell Albo professionale dell Ordine Assistenti Sociali.

Dettagli

CONFIGURAZIONE DEI SERVIZI (seconda parte)

CONFIGURAZIONE DEI SERVIZI (seconda parte) Corso ForTIC C2 LEZIONE n. 10 CONFIGURAZIONE DEI SERVIZI (seconda parte) WEB SERVER PROXY FIREWALL Strumenti di controllo della rete I contenuti di questo documento, salvo diversa indicazione, sono rilasciati

Dettagli

La procedura di registrazione prevede cinque fasi: Fase 4 Conferma

La procedura di registrazione prevede cinque fasi: Fase 4 Conferma Guida Categoria alla registrazione StockPlan Connect Il sito web StockPlan Connect di Morgan Stanley consente di accedere e di gestire online i piani di investimento azionario. Questa guida offre istruzioni

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO CLSMS SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO Sommario e introduzione CLSMS SOMMARIO INSTALLAZIONE E CONFIGURAZIONE... 3 Parametri di configurazione... 4 Attivazione Software...

Dettagli

Reti di Telecomunicazione Lezione 7

Reti di Telecomunicazione Lezione 7 Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione

Dettagli

PROFILI ALLEGATO A. Profili professionali

PROFILI ALLEGATO A. Profili professionali ALLEGATO A Profili professionali Nei profili di seguito descritti vengono sintetizzate le caratteristiche di delle figure professionali che verranno coinvolte nell erogazione dei servizi oggetto della

Dettagli

How to Develop Accessible Linux Applications

How to Develop Accessible Linux Applications How to Develop Accessible Linux Applications Sharon Snider Copyright 2002 IBM Corporation v1.1, 2002-05-03 Diario delle Revisioni Revisione v1.1 2002-05-03 Revisionato da: sds Convertito in DocBook XML

Dettagli

Configurazione avanzata di IBM SPSS Modeler Entity Analytics

Configurazione avanzata di IBM SPSS Modeler Entity Analytics Configurazione avanzata di IBM SPSS Modeler Entity Analytics Introduzione I destinatari di questa guida sono gli amministratori di sistema che configurano IBM SPSS Modeler Entity Analytics (EA) in modo

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

Codici sorgenti di esempio per l'invio di email da pagine WEB per gli spazi hosting ospitati presso ITESYS SRL.

Codici sorgenti di esempio per l'invio di email da pagine WEB per gli spazi hosting ospitati presso ITESYS SRL. Data: 8 Ottobre 2013 Release: 1.0-15 Feb 2013 - Release: 2.0 - Aggiunta procedura per inviare email da Windows con php Release: 2.1-20 Mar 2013 Release: 2.2-8 Ottobre 2013 - Aggiunta procedura per inviare

Dettagli

Basi di Dati. S Q L Lezione 5

Basi di Dati. S Q L Lezione 5 Basi di Dati S Q L Lezione 5 Antonio Virdis a.virdis@iet.unipi.it Sommario Gestione eventi Gestione dei privilegi Query Complesse 2 Esercizio 9 (lezione 4) Indicare nome e cognome, spesa e reddito annuali

Dettagli

F O R M A T O E U R O P E O

F O R M A T O E U R O P E O F O R M A T O E U R O P E O P E R I L C U R R I C U L U M V I T A E INFORMAZIONI PERSONALI Nome Indirizzo Laura Bacci, PMP Via Tezze, 36 46100 MANTOVA Telefono (+39) 348 6947997 Fax (+39) 0376 1810801

Dettagli

Gestore Comunicazioni Obbligatorie. Progetto SINTESI. Comunicazioni Obbligatorie. Modulo Applicativo COB. - Versione Giugno 2013 -

Gestore Comunicazioni Obbligatorie. Progetto SINTESI. Comunicazioni Obbligatorie. Modulo Applicativo COB. - Versione Giugno 2013 - Progetto SINTESI Comunicazioni Obbligatorie Modulo Applicativo COB - Versione Giugno 2013-1 Versione Giugno 2013 INDICE 1 Introduzione 3 1.1 Generalità 3 1.2 Descrizione e struttura del manuale 3 1.3 Requisiti

Dettagli

Lezione n 1! Introduzione"

Lezione n 1! Introduzione Lezione n 1! Introduzione" Corso sui linguaggi del web" Fondamentali del web" Fondamentali di una gestione FTP" Nomenclatura di base del linguaggio del web" Come funziona la rete internet?" Connessione"

Dettagli

SIASFi: il sistema ed il suo sviluppo

SIASFi: il sistema ed il suo sviluppo SIASFI: IL SISTEMA ED IL SUO SVILUPPO 187 SIASFi: il sistema ed il suo sviluppo Antonio Ronca Il progetto SIASFi nasce dall esperienza maturata da parte dell Archivio di Stato di Firenze nella gestione

Dettagli

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi IL GESTIONALE DEL FUTURO L evoluzione del software per l azienda moderna Gestirsi / Capirsi / Migliorarsi IL MERCATO ITALIANO L Italia è rappresentata da un numero elevato di piccole e medie aziende che

Dettagli

PROPOSTE SISTEMA DI CITIZEN RELATIONSHIP MANAGEMENT (CRM) REGIONALE

PROPOSTE SISTEMA DI CITIZEN RELATIONSHIP MANAGEMENT (CRM) REGIONALE PROPOSTE SISTEMA DI CITIZEN RELATIONSHIP MANAGEMENT (CRM) REGIONALE Versione 1.0 Via della Fisica 18/C Tel. 0971 476311 Fax 0971 476333 85100 POTENZA Via Castiglione,4 Tel. 051 7459619 Fax 051 7459619

Dettagli

Comandi filtro: sed. Se non si specificano azioni, sed stampa sullo standard output le linee in input, lasciandole inalterate.

Comandi filtro: sed. Se non si specificano azioni, sed stampa sullo standard output le linee in input, lasciandole inalterate. Comandi filtro: sed Il nome del comando sed sta per Stream EDitor e la sua funzione è quella di permettere di editare il testo passato da un comando ad un altro in una pipeline. Ciò è molto utile perché

Dettagli

GUIDA RAPIDA emagister-agora Edizione BASIC

GUIDA RAPIDA emagister-agora Edizione BASIC GUIDA RAPIDA emagister-agora Edizione BASIC Introduzione a emagister-agora Interfaccia di emagister-agora Configurazione dell offerta didattica Richieste d informazioni Gestione delle richieste d informazioni

Dettagli

RefWorks Guida all utente Versione 4.0

RefWorks Guida all utente Versione 4.0 Accesso a RefWorks per utenti registrati RefWorks Guida all utente Versione 4.0 Dalla pagina web www.refworks.com/refworks Inserire il proprio username (indirizzo e-mail) e password NB: Agli utenti remoti

Dettagli

Protocollo HTTP. Alessandro Sorato

Protocollo HTTP. Alessandro Sorato Un protocollo è un insieme di regole che permettono di trovare uno standard di comunicazione tra diversi computer attraverso la rete. Quando due o più computer comunicano tra di loro si scambiano una serie

Dettagli

ACCREDITAMENTO EVENTI

ACCREDITAMENTO EVENTI E.C.M. Educazione Continua in Medicina ACCREDITAMENTO EVENTI Manuale utente Versione 1.5 Maggio 2015 E.C.M. Manuale utente per Indice 2 Indice Revisioni 4 1. Introduzione 5 2. Accesso al sistema 6 2.1

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Modulo di Amministrazione Il modulo include tutte le principali funzioni di amministrazione e consente di gestire aspetti di configurazione

Dettagli

FileMaker Server 13. Guida introduttiva

FileMaker Server 13. Guida introduttiva FileMaker Server 13 Guida introduttiva 2007-2013 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 Stati Uniti FileMaker e Bento sono marchi

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello del sistema 4 2.1 Requisiti hardware........................ 4 2.2 Requisiti software.........................

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic

Dettagli

Progetto VirtualCED Clustered

Progetto VirtualCED Clustered Progetto VirtualCED Clustered Un passo indietro Il progetto VirtualCED, descritto in un precedente articolo 1, è ormai stato implementato con successo. Riassumendo brevemente, si tratta di un progetto

Dettagli

Progetto Istanze On Line

Progetto Istanze On Line 2014 Progetto Istanze On Line 09 aprile 2014 INDICE 1 INTRODUZIONE ALL USO DELLA GUIDA... 3 1.1 SIMBOLI USATI E DESCRIZIONI... 3 2 GESTIONE DELL UTENZA... 4 2.1 COS È E A CHI È RIVOLTO... 4 2.2 NORMATIVA

Dettagli

Lezione III: Oggetti ASP e interazione tramite form HTML

Lezione III: Oggetti ASP e interazione tramite form HTML Lezione III: Oggetti ASP e interazione tramite form HTML La terza lezione, come le precedenti, ha avuto una durata di due ore, di cui una in aula e l altra in laboratorio, si è tenuta alla presenza della

Dettagli

Parallels Plesk Panel

Parallels Plesk Panel Parallels Plesk Panel Notifica sul Copyright ISBN: N/A Parallels 660 SW 39 th Street Suite 205 Renton, Washington 98057 USA Telefono: +1 (425) 282 6400 Fax: +1 (425) 282 6444 Copyright 1999-2009, Parallels,

Dettagli

Configurazioni Mobile Connect

Configurazioni Mobile Connect Mailconnect Mail.2 L EVOLUZIONE DELLA POSTA ELETTRONICA Configurazioni Mobile Connect iphone MOBILE CONNECT CONFIGURAZIONE MOBILE CONNECT PER IPHONE CONFIGURAZIONE IMAP PER IPHONE RUBRICA CONTATTI E IPHONE

Dettagli

IT-BOOK. Domini Hosting Web marketing E-mail e PEC

IT-BOOK. Domini Hosting Web marketing E-mail e PEC 5 giugno 09 IT-BOOK Configurazioni e cartatteristiche tecniche possono essere soggette a variazioni senza preavviso. Tutti i marchi citati sono registrati dai rispettivi proprietari. Non gettare per terra:

Dettagli

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP Università degli Studi di Pisa Facoltà di Scienze Matematiche,Fisiche e Naturali Corso di Laurea in Informatica Michela Chiucini MIB PER IL CONTROLLO DELLO STATO DI UN SERVER

Dettagli

Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore)

Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore) Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore) Autore: Matteo Veroni Email: matver87@gmail.com Sito web: matteoveroni@altervista.org Fonti consultate: http://openmeetings.apache.org/

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

Configuration Management

Configuration Management Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni

Dettagli

Museo&Web CMS Tutorial: installazione di Museo&Web CMS Versione 0.2 del 16/05/11

Museo&Web CMS Tutorial: installazione di Museo&Web CMS Versione 0.2 del 16/05/11 Museo&Web CMS Tutorial: installazione di Museo&Web CMS Versione 0.2 del 16/05/11 Museo & Web CMS v1.5.0 beta (build 260) Sommario Museo&Web CMS... 1 SOMMARIO... 2 PREMESSE... 3 I PASSI PER INSTALLARE MUSEO&WEB

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

AOT Lab Dipartimento di Ingegneria dell Informazione Università degli Studi di Parma. Unified Process. Prof. Agostino Poggi

AOT Lab Dipartimento di Ingegneria dell Informazione Università degli Studi di Parma. Unified Process. Prof. Agostino Poggi AOT Lab Dipartimento di Ingegneria dell Informazione Università degli Studi di Parma Unified Process Prof. Agostino Poggi Unified Process Unified Software Development Process (USDP), comunemente chiamato

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

SERVER VIDEO 1-PORTA H.264

SERVER VIDEO 1-PORTA H.264 SERVER VIDEO 1-PORTA H.264 MANUALE UTENTE DN-16100 SALVAGUARDIA IMPORTANTE Tutti i prodotti senza piombo offerti dall'azienda sono a norma con i requisiti della legge Europea sulla restrizione per l'uso

Dettagli

Guida all'installazione ed uso dell'app RXCamLink

Guida all'installazione ed uso dell'app RXCamLink Guida all'installazione ed uso dell'app RXCamLink Questa guida riporta i passi relativi all'installazione ed all'utilizzo dell'app "RxCamLink" per il collegamento remoto in mobilità a sistemi TVCC basati

Dettagli

CHIAVETTA INTERNET ONDA MT503HSA

CHIAVETTA INTERNET ONDA MT503HSA CHIAVETTA INTERNET ONDA MT503HSA Manuale Utente Linux Debian, Fedora, Ubuntu www.ondacommunication.com Chiavet ta Internet MT503HSA Guida rapida sistema operativo LINUX V 1.1 33080, Roveredo in Piano (PN)

Dettagli

Introduzione a MySQL

Introduzione a MySQL Introduzione a MySQL Cinzia Cappiello Alessandro Raffio Politecnico di Milano Prima di iniziare qualche dettaglio su MySQL MySQL è un sistema di gestione di basi di dati relazionali (RDBMS) composto da

Dettagli

GESTIONE ATTREZZATURE

GESTIONE ATTREZZATURE SOLUZIONE COMPLETA PER LA GESTIONE DELLE ATTREZZATURE AZIENDALI SWSQ - Solution Web Safety Quality srl Via Mons. Giulio Ratti, 2-26100 Cremona (CR) P. Iva/C.F. 06777700961 - Cap. Soc. 10.000,00 I.V. -

Dettagli

MANUALE UTENTE DEL SOFTWARE DI GESTIONE DEGLI ART. SDVR040A/SDVR080A/SDVR160A

MANUALE UTENTE DEL SOFTWARE DI GESTIONE DEGLI ART. SDVR040A/SDVR080A/SDVR160A MANUALE UTENTE DEL SOFTWARE DI GESTIONE DEGLI ART. SDVR040A/SDVR080A/SDVR160A Leggere attentamente questo manuale prima dell utilizzo e conservarlo per consultazioni future Via Don Arrigoni, 5 24020 Rovetta

Dettagli