Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio"

Transcript

1 Analisi e valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Progetto per il corso di Argomenti Avanzati di Sistemi Informativi. Prof. Ceri, Ing. Brambilla Politecnico di Milano 31 Maggio 2005 Luca Carettoni (667031) Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 1

2 Sommario Introduzione 3 Applicazioni e Sicurezza in ambiente web Introduzione 6 Vulnerabilità. Esempi di applicazioni reali Introduzione 9 Web Hacking Methodology per le applicazioni WebML/WebRatio Sicurezza intrinseca del Modello WebML 10 Valutazione dei rischi associati a ciascun elemento del modello Analisi sulla sicurezza delle applicazioni generate con WebRatio 14 Casi di studio: Applicazione Acme e Gestione Corsi Profiling 14 Tentativi di attacco alla piattaforma di deployment 19 Tentativi di attacco ai meccanismi di autenticazione 20 Tentativi di attacco ai meccanismi di autorizzazione 23 Tentativi di attacco alla gestione delle sessioni 26 Problematiche di Input Validation 27 Tentativi di attacco alla base di dati 29 Conclusioni 31 Considerazioni finali sulla sicurezza. Accorgimenti e Tecnologie Bibliografia 33 Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 2

3 Introduzione Applicazioni e Sicurezza in ambiente web In questo documento si presenta un lavoro di analisi volto alla valutazione della sicurezza delle applicazioni web realizzate attraverso il modello WebML ed il relativo tool di sviluppo WebRatio. Questa nuova metodologia consente di effettuare uno sviluppo efficiente delle applicazioni data intensive. Consapevoli dell enorme potenzialità dello strumento, in questa analisi preliminare, vogliamo valutare la sicurezza delle applicazioni considerando come, in ambito web, sia difficile garantire i tre paradigmi fondamentali della sicurezza: integrità, confidenzialità e disponibilità. Con la progressiva diffusione di architetture distribuite, aperte e flessibili, garantire la sicurezza e l integrità dei sistemi informativi aziendali è diventato un compito realmente complesso. Se da un lato, la diffusione delle web applications (WA) ha portato evidenti benefici, dall altro ha evidenziato l intrinseca insicurezza delle applicazioni stesse. Le WA costituiscono senza dubbio uno dei terreni più fertili per l exploiting di vulnerabilità, per differenti ragioni: Il web nasce come rete di scambio di informazioni trusted. L espansione a ritmi esponenziali delle infrastrutture hardware e software ha tuttavia snaturato questa idea. Il principio base del TCP, secondo uno dei pionieri di Internet Jon Postel, era (ed è) di fare molta attenzione ai dati inviati, e di accettare di buon grado i dati ricevuti (RFC 793, Settembre 1981). Questo poteva valere agli albori del WWW, ma non certo ora; Le WA possono vantare un grandissimo bacino di utenza, essendo per loro natura fruibili via Web e intrinsecamente aperte alla comunicazione remota; La distanza fisica, propria delle applicazioni remote, è un ulteriore elemento di incoraggiamento alle azioni illecite nel mondo del Web, poichè offre l opportunità di mascherare la propria identità e sfruttare la molteplicità dei collegamenti nel cammino end-to-end per alterare diversi parametri dei messaggi in transito; Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 3

4 Le WA hanno spesso accesso, per necessità oggettive, a basi di dati che possono contenere dati sensibili (e quindi attraenti per un utente malintenzionato); Esistono differenti tecnologie per la costruzione di WA, tutte orientate all immediatezza e alla semplicità d uso. Costruire applicazioni web è spesso veloce ed economico anche per personale non qualificato sotto il profilo della sicurezza; Il fatto che la parte legata all infrastruttura di rete nel sistema informativo aziendale sia sempre più sicuro (si pensi a diverse soluzioni quali antivirus, firewall e IDS) sposta automaticamente l interesse degli attacker sulle interfacce pubbliche delle WA. La costruzione di WA sicure è una costante sfida, poichè, se da un lato migliorano i mezzi nelle mani di chi deve garantire la sicurezza, dall altro gli stessi strumenti possono giocare a favore di chi tende a destabilizzarla. Da un studio realizzato da Imperva Inc. emerge uno scenario abbastanza allarmante: i dati divulgati si riferiscono al periodo , e riportano un generale trend di crescita per quanto concerne la presenza di vulnerabilità nelle WA: prima fra tutte il tampering dei parametri, seguita dalla incorretta gestione dei permessi ed alle note problematiche di SQL Injection e Cross-Site Scripting. Le vulnerabilità che causano i maggiori danni sono quelle correlate alla mancata validazione dell input dell utente, ovvero quelle che scaturiscono dall uso di parametri che ricevono assegnamenti da input esterno e che non subiscono un adeguata trafila di controllo. Directory Traversal Cookie Poisoning Buffer Overflow Forcefull Browsing Brute Force Denial of Service Known Vulnerabilities Session Hijacking 4% 6% 4% 5% 3% 2% 2% 3% 16% Parameter Tampering 13% Permissions Improper Management Source Disclosure 7% 10% Access of Internal Modules 8% 8% 9% SQL Injection Information Gathering Cross-Site Scripting Percentuali di vulnerabilità riscontrate dai penetration test Imperva Inc. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 4

5 Sebbene i dati presentati dovrebbero suggerire di considerare la sicurezza delle applicazioni come un requisito paragonabile a quelli funzionali, solo in questi ultimi anni si sta cercando di porre attenzione a tale aspetto. OWASP (Open Web Application Security Project) sta cercando di definire delle metodologie standard da adottare durante lo sviluppo del software stesso ma, ad oggi, non esistono ancora soluzioni o schemi formali, ma solamente linee guida. Risulta altrettanto difficile definire una metodologia per la verifica di tali requisiti. Non esiste ancora una pallottola d argento per la sicurezza in ambito web, anche se alcune società del settore tendono a farlo credere. Per risolvere questa sfida occorrono persone capaci, grande conoscenza e ottima formazione, ottimi processi e il meglio della tecnologia. Mark Curphey - OWASP Founder Al fine di realizzare una valutazione quanto più metodologica possibile rispetto al singolo caso in esame (nel nostro caso quello delle applicazioni generate con WebRatio) cercheremo comunque di definire una serie di passi di verifica che abbiamo effettuato e che di fatto risultano essere lo schema classico eseguito da un attacker. Trattandosi di una valutazione preliminare, la possibilità di tracciare sistematicamente le verifiche effettivamente eseguite permette di analizzare successivamente alcuni dettagli che sono risultati fragili piuttosto che cercare di forzare meccanismi che in prima analisi sono risultati sicuri, evitando di indurre sensazioni di falsa sicurezza che accomunano qualsiasi Vulnerability Assessment. Prima di ciò, presentiamo brevemente alcune classiche vulnerabilità che affliggono le web applications, in maniera da padroneggiare le problematiche che analizzeremo all interno delle applicazioni. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 5

6 Introduzione Vulnerabilità. Esempi di applicazioni reali [SQL INJECTION] L sql injection è una tecnica di attacco basata sull inserimento di valori untrusted all interno di una query sql, con l obiettivo di eseguire del codice sql arbitrario. Consideriamo il problema presente in una vecchia versione di Squirrel Mail (un applicativo di webmail integrato sviluppato in PHP4) e in particolare dell address book, il quale si appoggia ad un db (MYSQL) per il salvataggio delle informazioni. Riportiamo, per completezza, la struttura della tabella address alla quale faremo riferimento: CREATE TABLE address ( owner varchar(50) default NULL, nickname varchar(50) default NULL, firstname varchar(50) default NULL, lastname varchar(50) default NULL, varchar(50) default NULL, label varchar(50) default NULL) Nella versione all interno della pagina squirrelmail/squirrelmail/functions/abook_database.php é presente la seguente query: $query = sprintf("select * FROM %s WHERE owner= %s AND nickname= %s ", $this->table, $this->owner, $alias); $res = $this->dbh->query($query); In nessun punto precedente del codice viene effettuato un controllo sul contenuto delle variabili e, poichè tale valore è modificabile dall utente, il mancato controllo di validazione dell input rappresenta la giusta collocazione per un attacco di questo tipo. Se per esempio la variabile $alias contenesse la seguente stringa: Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 6

7 UNION ALL SELECT * FROM address WHERE = tale segmento di codice genererebbe la seguente istruzione sql: SELECT * FROM address WHERE owner= me AND nickname= UNION ALL SELECT * FROM address WHERE = Supponendo che non ci sia nessun utente con il campo nickname vuoto, la prima SELECT non restituirà risultati, mentre la seconda, poichè costruita con una clausola WHERE incondizionata, ritornerà tutte le tuple contenute nel database. L utilizzo del comando sql di aliasing (AS) permette poi di bypassare i problemi di visualizzazione dei risultati della query. [Cross-Site Scripting (XSS)] All interno di questa tipologia di attacchi rientrano tutti quei casi in cui l aggressore ha la possibilità di inserire, all interno della web application, del codice arbitrario così da modificarne il comportamento per perseguire i propri fini illeciti. Mostriamo ora un altra vulnerabilità presente in una vecchia versione di Squirrel Mail in cui è presente un problema di XSS, dovuto ad un controllo non adeguato sui parametri in ingresso. $day=$_get[ day ]; $month=$_get[ month ]; $year=$_get[ year ]; echo"<a href=\"day.php?year=$year&" echo"month=$month&day=$day\">"; In questa parte dello script, le variabili rappresentanti il giorno, mese e anno vengono prelevate da una precedente http_request, per comporre una nuova pagina html. Senza aver effettuato alcun controllo sul contenuto delle variabili queste potranno essere usate per inserire del codice maligno da far eseguire direttamente all utente stesso. Inserendo quindi una stringa del tipo: e convincendo l utente ad aprire tale url (per esempio tramite un o eventuale segnalazione su forum pubblici) è possibile eseguire comandi che hanno gli stessi privilegi del server web stesso. Questa situazione è l ideale per attacchi di session hijacking in cui poter prelevare cookies ed altre informazioni sensibili all utente stesso. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 7

8 L html di risposta alla richiesta http dell utente è infatti: <a href="day.php?year=><script>mycode();</script> ed il parametro year, ora riempito con la funzione mycode è il mezzo attraverso il quale eseguire del codice arbitrario. [Transversal Directory Attack] Consideriamo una nuova applicazione e vediamo, ancora una volta, come semplici dimenticanze sulla validazione degli input producono problemi seri per quanto riguarda la sicurezza dell applicazione. In questo caso parliamo di phpmyadmin (tool sviluppato in PHP per la completa amministrazione di MySQL attraverso un interfaccia web). Sino alla versione 2.5.x di tale software è presente un problema di sicurezza rientrante nella categoria delle Directory Transversal Vulnerability, tramite il quale risulta possibile effettuare il listing di una directory del web server che ospita l applicazione. Inviando un richiesta formulata nel seguente modo al file \db\details_importdocsql.php e sostituendo a TRANSVERSAL_PATH l opportuno path per la directory di cui vogliamo avere il listing, riusciamo senza nessun problema ad ottenere il risultato sperato. Sostituendo, per esempio../../../ è quindi possibile mostrare il contenuto della root. Sebbene in questo modo sia unicamente possibile visualizzare l elenco dei file presenti, e non richiedere i file stessi, tale attacco può comunque essere un ottima base di partenza per ottenere maggiori informazioni sulla vittima nonchè per scoprire eventuali pagine pubblicate nel webserver (magari usate come test), ma non collegate pubblicamente al sito. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 8

9 Introduzione Web Hacking Methodology per le applicazioni WebML/WebRatio Come accennato precedentemente, sebbene non risulta possibile definire una metodologia universale di Vulnerability assessment, possiamo tentare di tracciare delle linee guida utilizzate durante l analisi delle applicazioni WebML/WebRatio. In primo luogo occorre distinguere due livelli di sicurezza: 1. Considerando il modello concettuale WebML, cercheremo di effettuare un mapping tra gli elementi appartenenti a tale modello ed un valutazione dei rischi associati. Questa analisi a livello di modello astratto non ci porterà alla reale scoperta di vulnerabilità, ma servirà per iniziare ad identificare gli eventuali punti deboli della catena. 2. Considerando invece l implementazione reale dell applicazione web progettata, il cui codice viene generato automaticamente tramite WebRatio, ed effettuando diversi test di tipo black-box oppure white-box, cercheremo di scoprire gli effettivi punti deboli di tali sistemi. In particolare, a questo livello, adotteremo un analisi basata sui seguenti punti: 1. Profiling (analisi e utilizzo ragionato dell applicazione) 2. Tentativi di attacco alla piattaforma di deployment (poichè di fatto integrata nello strumento) 3. Tentativi di attacco ai meccanismi di autenticazione 4. Tentativi di attacco ai meccanismi di autorizzazione 5. Tentativi di attacco alla gestione delle sessioni 6. Problematiche di Input Validation 7. Tentativi di attacco alla base di dati All interno di questo documento, nella parte dedicata all exploiting dell applicazione, manterremo tale struttura. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 9

10 Sicurezza intrinseca del Modello WebML Valutazione dei rischi associati a ciascun elemento del modello Analizzare la sicurezza di un software significa anche capire come tale applicazione viene prodotta e con quali metodologie e tecnologie vengono implementate le varie soluzioni. Il modello WebML è il riferimento teorico per il tool di web design WebRatio. Proprio questa formalizzazione teorica alla base di un IDE per lo sviluppo di software assicura al prodotto finale delle buone caratteristiche di versatilità ed ingegnerizzazione. Se da un lato la presenza di un modello formalmente definito è un aspetto vincente della tecnologia dall altro, la modalità con cui qualsiasi strumento di sviluppo (come è di fatto WebRatio) realizza effettivamente l applicazione può essere uno dei principali punti deboli a questo livello di astrazione. Avere un determinato design pattern utilizzato per creare un applicazione web significa, a livello di prodotto finale, ottenere la medesima implementazione con pregi e difetti. Se l implementazione di un determinato pattern presenta dei problemi di sicurezza, essi saranno presenti in tutte le sue istanze. Dal punto di vista tecnico è un vantaggio enorme per l aggressore poter conoscere la modalità con cui tale codice viene scritto e conoscere per esempio i meccanismi di login. In questo senso alcune applicazioni diventano analizzabili tramite test di tipo white-box, sebbene l aggressore possa accedere solamente da remoto. Esso infatti potrebbe riprodurre parti dell applicazione in locale per studiarne il comportamento. Queste affermazioni sono giustificate dal fatto che, sebbene non sia possibile basare la sicurezza di un sistema unicamente sulla security by obscurity, spesso può essere un ottimo deterrente per le persone meno preparate tecnicamente (script kiddies, etc). Il riuso di parti dell applicazione, caratteristica fondamentale per strumenti di questo tipo, permette all aggressore di definirsi degli schemi mentali sul funzionamento del sistema rendendo più semplice la fase di profiling. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 10

11 Per velocizzare la fase di prototipazione, WebML include molteplici scorciatoie per ottenere in breve tempo un applicazione up and running da specifiche incomplete. Per esempio è definita una regola in cui ad ogni entità del modello dei dati è generato automaticamente una data unit con l inclusione di tutti gli attributi. Durante uno sviluppo di software attento agli aspetti legati alla sicurezza del prodotto, la regola che dovrebbe accompagnare lo sviluppo è quella del tanta informazione quanto basta!. Queste ed altre semplificazioni per lo sviluppo, fornite dal modello, possono risultare poco attente agli aspetti della sicurezza sebbene non rappresentino di sicuro problemi critici. Se da un lato, avere un modello intrinsecamente pone la serie di problemi che abbiamo accennato, dall altro permette una verifica puntuale di alcuni requisiti. WebML definisce il concetto di validità dell hypertext attraverso una serie di nozioni di correttezza tra le quali anche la raggiungibilià. Uno dei problemi che affligge le applicazioni web nella fase del deployment (e spesso per tutta la durata del sistema stesso!) è l utilizzo da parte dei tecnici di eventuali pagine di test non direttamente collegate alle pagine visibilmente accessibili. Non sono rari i casi in cui le aggressioni vengono compiute attraverso pagine chiamate test.php, debug.asp, sqlquery.jsp, etc. Un problema concettualmente semplicissimo, che spesso però esiste a causa della negligenza del personale tecnico. WebML non permette la presenza di pagine (con l eccezione dell homepage) che non abbiano link in ingresso (contestuali o non). Il formalismo teorico alla base dello sviluppo fornisce in questo senso un meccanismo robusto per la verifica di tali caratteristiche. La personalizzazione dell applicazione stessa è fondamentale per supportare lo sviluppo di applicazioni in contesti applicativi quali i siti di e-commerce, online community, etc. WebML include la nozione di utente e gruppo di utenti, tipica dei sistemi multiutente. Da un lato questa caratteristica è fondamentale per associare permessi ed effettuare un controllo sulle azioni consentite; dall altro la generazione automatica di codice associato al modello permette di ricavare un mapping rispetto ai meccanismi realmente implementati dai metodi di controllo d accesso (campi del database, forms, etc). Tali informazioni possono essere realmente preziose durante un attacco informatico. Dopo questa panoramica sui possibili problemi connessi al modello, vogliamo ora presentare un tabella riassuntiva degli elementi principali del modello cercando di definire il loro ruolo per la messa in sicurezza dell applicazione: Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 11

12 Elemento del modello Simbolo Tipologia di attacco Note Data/Multidata unit Entry unit Set/Get unit Create/Delete/Modify/ Connect/Disconnect unit Login/Logout unit Sendmail unit Unvalidated input(sql injection); Improper Error Handling; Insecure Storage Unvalidated input (code injection); Cross Site Scripting; Injection Flaws Unvalidated Input; Broken Session Management; Cross Site Scripting Unvalidated input(sql injection); Improper Error Handling; Insecure Storage Broken Authentication; Improper Error Handling; Unvalidated input Injection Flaws; Improper Error Handling; Rappresentano la fonte principale di informazioni alle quali l aggressore può essere interessato. Rappresentano il punto di accesso di molti degli attacchi basati su injection. Importante la validazione dell input. Principale mecanismo di autenticazione nei siti web attuali. Importante la validazione dell input. Generic operation Links Buffer Overflows; Injection Flaws; Denial of Service Unvalidated input; Cross Site Scripting; Injection Flaws Potendo associare operazioni generiche lato server bisogna porre attenzione ad ogni singola istanza. Principale veicolo di injection dopo l inserimento diretto dai forms. Ogni parametro andrebbe validato. Valutazione degli elementi del modello secondo la denominazione OWASP Top Ten. In conclusione, durante questa prima fase dell analisi, si vuole evidenziare come il modello risulti fondamentalmente sicuro, senza grossi problemi di coerenza strutturale o di altro tipo. Come per molti altri sistemi (dispositivi hardware, stack dei protocolli, etc.) spesso è l implementazione che introduce imperfezioni ed errori che minano la sicurezza dell architettura. Al di là dei problemi precedentemente individuati (presenza di patterns, standardizzazione dei parametri, etc.), tipici dei sistemi fortemente automatizzati, è da sottolineare come anche Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 12

13 nel caso di WebML/WebRatio sia necessario che delle persone competenti anche in materia di sicurezza svolgano lo sviluppo e il deployment. Sebbene il framework tecnologico nasce per permettere lo sviluppo di applicazioni web in maniera facile ed efficiente anche a persone con skills differenti (grazie alla separazione degli aspetti di strutturazione dei dati, composizione e presentazione) è indispensabile, al fine della sicurezza, che al termine della prototipazione vengano di fatto svolte opportune analisi per validarne la sicurezza, per modificare punti critici e per aggiungere manualmente meccanismi di controllo e validazione. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 13

14 Analisi sulla sicurezza delle applicazioni generate con WebRatio Casi di studio: Applicazione Acme e Gestione Corsi Dopo aver effettuato delle considerazioni di carattere generale sul modello, cerchiamo di analizzare in dettaglio alcune applicazioni generate utilizzando questo approccio. La ricerca di vulnerabilità non ha nessuna pretesa di realizzare un Vulnerability Assessment completo, che richiederebbe certamente un impiego di risorse e competenze differenti, ma solamente di evidenziare alcuni punti critici presenti nelle applicazioni sotto esame. Per i test effettuati è stata utilizzata una piattaforma Linux con kernel gentoo-r5, WebRatio 4.0 rev 11 Academic Trial Version, Jsp 1.2, PostgreSQL ver r2 e MySQL ver Durante l analisi, sono state utilizzate la demo fornita nel package di WebRatio (Acme) e un applicazione sviluppata in ambito universitario per la gestione di corsi (Gestione Corsi) da F.Merlo, M.Miraz e A.Naggi. Dopo aver opportunamente configurato l application server e il database di backend (opportunamente popolato con la funzione automatica Create Filled Data Mapping ), abbiamo effettuato il deployment tramite la generazione automatica del codice fornita dallo strumento WebRatio. Seguendo la metodologia di web hacking illustrata durante l introduzione, procediamo in ordine dal profiling dell applicazione ai tentativi di attacco alla base di dati. Nel seguito non riporteremo in maniera sistematica tutti i passaggi svolti, ma solamente i risultati di ogni fase dell analisi su una delle due applicazioni analizzate. Profiling Effettuare del profiling su un applicazione web significa effettuare un identificazione degli ip, delle porte e delle specifiche versioni dei servizi (e del sistema operativo stesso) presente sul server, ma anche iniziare a farsi un idea sull applicazione che bisogna analizzare. La componente base di questo tipo di analisi è la semplice intuizione e la pazienza di esplorare e provare ogni singola funzionalità del sito stesso. In questa fase è necessario anche capire Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 14

15 il funzionamento e la struttura dell applicazione, fruendo del servizio come un qualunque altro utente. Per testare qualche piccola funzionalità si può eventualmente iniziare ad inserire input differenti da quelli ragionevolmenti attesi per una tale operazione. Usare, per esempio, campi numerici dove si pensa siano attesi solo stringhe, uso di caratteri strani (, %,&,../,/,*,#), etc. Per effettuare il profiling del web server e dell applicazione, abbiamo utilizzato anche tools comuni per questo tipo di scanning come Nmap, Amap (Application Scanner), Nessus e Nikto (Vulnerabilty Scanning for Web Application). Gli ultimi due, in particolare, oltre ad effettuare una scansione del sistema, svolgono il ruolo di veri e propri tools per Vulnerability Assessment in quanto, attraverso un database di vulnerabilità note, cercano di trovare un matching con la versione dei servizi effettivamente presente. L utilizzo di questi strumenti è un ottimo complemento all auditing manuale che però non può essere sostituito dalla semplice scansione automatica. E evidente come effettuare il profiling in modalità black-box da remoto sia molto diverso dall eseguire lo stesso lavoro disponendo di una metodologia formale come WebML. Nel primo caso, il lavoro necessita di molto tempo e spesso non si riesce durante questa fase ad avere una piena coscienza del funzionamento dell applicazione nel suo complesso. Disponendo invece di uno strumento quale WebRatio, che permette di ottenere una rappresentazione chiara della singola applicazione, questo procedimento può essere notevolmente semplificato. Per questo aspetto, l utilizzo di strumenti di modellazione è da consigliarsi per aiutare lo sviluppatore a mantenere una visione di insieme dell applicazione e al security tester per comprenderne in breve tempo i meccanismi di funzionamento. Una breve introduzione alle due applicazioni, prima di procedere con il profiling della piattaforma: Acme è un applicazione demo per la gestione di un catalogo di prodotti online. L intero progetto è divisibile in due Site View separate: una dedicata alla presentazione dei prodotti e una per l amministrazione del catalogo. L utente, accedendo alla sezione pubblica può visionare i prodotti, leggere i dettagli di un determinato prodotto, effettuare ricerche nel catalogo, trovare le offerte del momento e i negozi più vicini per fare acquisti. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 15

16 Nella sezione amministrazione invece è possibile gestire completamente tali informazioni inserendo e/o modificando nuovi prodotti, offerte e stores. L applicazione Acme Gestione Corsi è un applicazione completa per la gestione di corsi didattici. Anche in questo caso è possibile distinguere cinque Site View differenti che coincidono con i differenti profili di utenti interessati ad accedere alle informazioni (Docenti, Visitatori anonimi, Partecipanti ai corsi, Segreteria didattica e Aziende per le quali sono effettuati i corsi). Nella sezione pubblica è possibile visionare i corsi ed informazioni sui docenti. Accedendo attraverso un login, è possibile gestire le informazioni legate ai corsi in base alle proprie credenziali di accesso (la segreteria può definire nuovi corsi, i docenti associati, le aziende per le quali effettuare i corsi, i partecipanti e la gestione dei pagamenti. Il partecipante può accedere al proprio profilo, scaricare il materiale utile, etc.) Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 16

17 L applicazione Gestione Corsi Consideriamo ora la piattaforma su cui sono eseguite le applicazioni. Se spesso, durante le analisi legate alla sicurezza delle applicazioni, gli aspetti di configurazione del server non sono interessanti, nel caso di WebRatio, è estremamente importante considerarle in quanto, fornendo di fatto una piattaforma completa di sviluppo (deployment compreso, grazie alla presenza di Tomcat), l applicazione potrebbe essere utilizzata direttamente attraverso questa modalità. Sicuramente utilizzare un servizio di application server stand-alone opportunamente configurato sulla macchina adibita a server rappresenta la soluzione migliore in termini di sicurezza e perfomance. Anche perchè con tale configurazione è possibile gestire la macchina in maniera completa effettuando, per esempio, aggiornamenti automatici. WebRatio integra Apache Jakarta Tomcat (Servlet/JSP Spec 2.2/1.1 oppure 2.3/1.2). In maniera remota un aggressore esterno potrebbe effettuare un port scanning cercando di fare banner grabbing o fingerprinting per risalire alla specifica versione dell application server. In effetti utilizzando il tool nmap (http://www.insecure.org/nmap/) con l opzione -sv è possibile capire da remoto che sulla macchina è installato un servizio Apache/Tomcat 1.1 sulla porta Le stesse osservazioni potevano essere fatte considerando la presenza del servizio ajp13 sulla porta Infatti il JK Connector è installato di default con Tomcat e serve per comunicare Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 17

18 tramite il protocollo AJP con un eventuale installazione già presente di Apache per far gestire ad Apache stesso le richieste a pagine statiche e l eventuale SSL layer. Utilizzando inoltre Nikto, oltre a confermare quanto detto precedentemente, è possibile appurare che l installazione presente è una configurazione base di Tomcat. Nella versione standard sono presenti ancora i servizi di management, degli esempi applicativi ed altri file che potrebbero essere usati dall aggressore per compromettere il sistema, oltre ad una serie di configurazioni poco sicure (per esempio, il directory listings). Port Scanning sul server in cui WebRatio effettua il deployment Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 18

19 Scansione effettuata con il tool Nikto Tentativi di attacco alla piattaforma di deployment Come abbiamo potuto capire dalla fase precedente, la piattaforma su cui WebRatio effettua il deployment automatico deve assolutamente essere considerata una piattaforma di testing, utilizzabile solamente durante lo sviluppo. La versione di Tomcat installata non è per nulla configurata ed inoltre è presumibile che non sia nemmeno aggiornata. Nelle liste in cui vengono raccolti i Security Advisor è già presente un grosso elenco di vulnerabilità che affligge la versione Ne riportiamo a titolo di esempio uno, che potrebbe compromettere la disponibilità del servizio: Name: Description: CAN (under review) Apache Tomcat before 5.x allows remote attackers to cause a denial of service (application crash) via a crafted AJP packets. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 19

20 Name: CAN (under review) Phase: Assigned ( ) La criticità dell installazione può essere infatti confermata attraverso il tool Nessus (http://www.nessus.org/) che riporta una serie di problematiche: per esempio un Cross Site Scripting (XSS) che permette all attaccante l inserimento di codice html o javascript che potrebbe venir successivamente presentato dal server al client legittimo. Un url maligno potrebbe essere: Tentativi di attacco ai meccanismi di autenticazione Sebbene in ambito web esistano diversi meccanismi di autenticazione (HTTP Authentication Basic, Digest, Integrated Windows), il più diffuso è sicuramente quello denominato Form- Based Authentication. WebRatio realizza un autenticazione basata unicamente su questo meccanismo attraverso il database sql di backend utilizzato per lo storage delle informazioni. Per ogni richiesta di login, effettuata tramite l immissione dello username e della password ed inviata tramite una http_request verso il server, viene effettuata una query al database server al fine di validare l identificazione fornita. Analisi sicurezza web apps WebML/WebRatio Luca Carettoni 20

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

DD - Design Document

DD - Design Document Politecnico di Milano Progetto di Ingegneria del Software 2 DD - Design Document Autori: Claudia Foglieni Giovanni Matteo Fumarola Massimo Maggi Professori: Elisabetta Di Nitto Raffaela Mirandola 1 gennaio

Dettagli

SWIM v2 Design Document

SWIM v2 Design Document PROGETTO DI INGEGNERIA DEL SOFTWARE 2 SWIM v2 DD Design Document Matteo Danelli Daniel Cantoni 22 Dicembre 2012 1 Indice Progettazione concettuale Modello ER Entità e relazioni nel dettaglio User Feedback

Dettagli

Questo punto richiederebbe uno sviluppo molto articolato che però a mio avviso va al di là delle possibilità fornite al candidato dal tempo a disposizione. Mi limiterò quindi ad indicare dei criteri di

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

Database e reti. Piero Gallo Pasquale Sirsi

Database e reti. Piero Gallo Pasquale Sirsi Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente

Dettagli

Content Management Systems

Content Management Systems Content Management Systems L o Guido Porruvecchio Tecnologia e Applicazioni della Rete Internet Definizione Un Content Management System (CMS) è letteralmente un sistema per la gestione dei contenuti Definisce

Dettagli

Applicazione: GAS - Gestione AcceSsi

Applicazione: GAS - Gestione AcceSsi Riusabilità del software - Catalogo delle applicazioni Gestione ICT Applicazione: GAS - Gestione AcceSsi Amministrazione: Consiglio Nazionale delle Ricerche (CNR) Responsabile dei sistemi informativi Nome

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

Corso Android Corso Online Sviluppo su Cellulari con Android

Corso Android Corso Online Sviluppo su Cellulari con Android Corso Android Corso Online Sviluppo su Cellulari con Android Accademia Futuro info@accademiafuturo.it Programma Generale del Corso di Sviluppo su Cellulari con Android Programma Base Modulo Uno - Programmazione

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Una minaccia dovuta all uso dell SNMP su WLAN

Una minaccia dovuta all uso dell SNMP su WLAN Una minaccia dovuta all uso dell SNMP su WLAN Gianluigi Me, gianluigi@wi-fiforum.com Traduzione a cura di Paolo Spagnoletti Introduzione Gli attacchi al protocollo WEP compromettono la confidenzialità

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

Concetti base. Impianti Informatici. Web application

Concetti base. Impianti Informatici. Web application Concetti base Web application La diffusione del World Wide Web 2 Supporto ai ricercatori Organizzazione documentazione Condivisione informazioni Scambio di informazioni di qualsiasi natura Chat Forum Intranet

Dettagli

Introduzione alle problematiche di hacking

Introduzione alle problematiche di hacking Introduzione alle problematiche di hacking Approfondire ed applicare le tecniche utilizzate dagli esperti di sicurezza, per far fronte agli attacchi informatici ed alle più comuni problematiche a cui i

Dettagli

SOMMARIO. 1 ISTRUZIONI DI BASE. 2 CONFIGURAZIONE. 7 STORICO. 9 EDITOR HTML. 10 GESTIONE ISCRIZIONI E CANCELLAZIONI. 11 GESTIONE MAILING LIST.

SOMMARIO. 1 ISTRUZIONI DI BASE. 2 CONFIGURAZIONE. 7 STORICO. 9 EDITOR HTML. 10 GESTIONE ISCRIZIONI E CANCELLAZIONI. 11 GESTIONE MAILING LIST. INDICE 1) SOMMARIO... 1 2) ISTRUZIONI DI BASE... 2 3) CONFIGURAZIONE... 7 4) STORICO... 9 5) EDITOR HTML... 10 6) GESTIONE ISCRIZIONI E CANCELLAZIONI... 11 7) GESTIONE MAILING LIST... 12 8) E-MAIL MARKETING...

Dettagli

OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte.

OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte. 1 Guida Utente 1.1 Panoramica di OASIS OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte. Grazie a OASIS, sarai in grado di acquistare o selezionare, dallo store,

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

LEZIONE 3. Il pannello di amministrazione di Drupal, configurazione del sito

LEZIONE 3. Il pannello di amministrazione di Drupal, configurazione del sito LEZIONE 3 Il pannello di amministrazione di Drupal, configurazione del sito Figura 12 pannello di controllo di Drupal il back-end Come già descritto nella lezione precedente il pannello di amministrazione

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

--- PREMESSE INTRODUZIONE. .:luxx:.

--- PREMESSE INTRODUZIONE. .:luxx:. SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una

Dettagli

Corso Programmazione Java Android. Programma

Corso Programmazione Java Android. Programma Corso Programmazione Java Android Programma 1.1 Obiettivo e modalità di fruizione L obiettivo del corso è di fornire le conoscenze tecniche e metodologiche per svolgere la professione di Programmatore

Dettagli

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI

1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI 1. FINALITÀ E DEFINIZIONE DELLE SPECIFICHE TECNICHE E FUNZIONALI Per implementare una piattaforma di e-learning occorre considerare diversi aspetti organizzativi, gestionali e tecnici legati essenzialmente

Dettagli

INFORMATICA. Applicazioni WEB a tre livelli con approfondimento della loro manutenzione e memorizzazione dati e del DATABASE.

INFORMATICA. Applicazioni WEB a tre livelli con approfondimento della loro manutenzione e memorizzazione dati e del DATABASE. INFORMATICA Applicazioni WEB a tre livelli con approfondimento della loro manutenzione e memorizzazione dati e del DATABASE. APPLICAZIONI WEB L architettura di riferimento è quella ampiamente diffusa ed

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Corso di Informatica

Corso di Informatica Corso di Informatica CL3 - Biotecnologie Orientarsi nel Web Prof. Mauro Giacomini Dott. Josiane Tcheuko Informatica - 2006-2007 1 Obiettivi Internet e WWW Usare ed impostare il browser Navigare in internet

Dettagli

PTDR Disaster Recovery for oracle database

PTDR Disaster Recovery for oracle database PTDR Disaster Recovery for oracle database INTRODUZIONE... 3 INTRODUZIONE... 3 I MECCANISMI BASE DI ORACLE DATA GUARD... 3 COSA SONO I REDO LOG?... 4 IMPATTO SULL'ARCHITETTURA COMPLESSIVA... 4 CONCLUSIONI...

Dettagli

Candidato: Luca Russo Docente: Prof. Raffaele Montella. 27 Marzo 2013

Candidato: Luca Russo Docente: Prof. Raffaele Montella. 27 Marzo 2013 e di e di Candidato: Luca Russo Docente: Corso di laurea in Informatica Applicata Facoltá di Scienze e Tecnologie Programmazione su Reti 27 Marzo 2013 Traccia d esame Sviluppare multitier con disaccoppiamento

Dettagli

SOFTWARE MAINTENANCE DESIGN

SOFTWARE MAINTENANCE DESIGN SOFTWARE MAINTENANCE DESIGN INTRODUZIONE... 1 1.1 Identificazione della richiesta di modifica... 2 1.2 Assegnazione di un numero di identificazione alla Change Request... 2 1.3 Classificazione del tipo

Dettagli

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB Studente: Nigro Carlo N.mat.: 145559 Tema: Negozio virtuale Nome sito: INFOTECH Url: http://spaw.ce.unipr.it/progetti/infotech Per il progetto

Dettagli

Firewall applicativo per la protezione di portali intranet/extranet

Firewall applicativo per la protezione di portali intranet/extranet Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X In questa guida saranno analizzati i semplici passaggi per la messa in opera del motore di e-commerce LIDRASHOP. Prima però ecco alcuni accorgimenti

Dettagli

Introduzione all elaborazione di database nel Web

Introduzione all elaborazione di database nel Web Introduzione all elaborazione di database nel Web Prof.ssa M. Cesa 1 Concetti base del Web Il Web è formato da computer nella rete Internet connessi fra loro in una modalità particolare che consente un

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Siti interattivi e dinamici. in poche pagine

Siti interattivi e dinamici. in poche pagine Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Progetto di Applicazioni Software

Progetto di Applicazioni Software Progetto di Applicazioni Software Antonella Poggi Dipartimento di Informatica e Sistemistica Antonio Ruberti SAPIENZA Università di Roma Anno Accademico 2010/2011 Questi lucidi sono stati prodotti sulla

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Indice. Introduzione PARTE PRIMA PHP: I FONDAMENTI

Indice. Introduzione PARTE PRIMA PHP: I FONDAMENTI 00som_PHP_4320_2 12-03-2003 20:59 Pagina V Indice Introduzione XV PARTE PRIMA PHP: I FONDAMENTI Capitolo 1 Perché PHP? 3 1.1 Cos è PHP? 3 1.2 La storia di PHP 4 1.3 Le ragioni per amare PHP 5 1.4 Sommario

Dettagli

MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com

MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com MySQL Controllare gli accessi alla base di dati A cura di Silvio Bonechi per http://www.pctrio.com 15.03.2006 Ver. 1.0 Scarica la versione pdf ( MBytes) Nessuno si spaventi! Non voglio fare né un manuale

Dettagli

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER Sicurezza delle Applicazioni Informatiche Qualificazione dei prodotti di back office Linee Guida RER 1 Cliente Redatto da Verificato da Approvato da Regione Emilia-Romagna CCD CCD Nicola Cracchi Bianchi

Dettagli

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Pag. 1 di 16 Redatto da F. Fornasari, C. Simonelli, E. Croci (TAI) Rivisto da E.Mattei (TAI) Approvato

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI TERAMO

ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI TERAMO ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI TERAMO Teramo, 4 dicembre 2014 Ns. Prot. n. 1913 Spett.le Consiglio Nazionale Ingegneri Via IV Novembre n. 114 00187 Roma segreteria@ingpec.eu Comitato Italiano

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

Gestione WEB Viaggi e Turismo

Gestione WEB Viaggi e Turismo Pag. 1 di 11 Gestione WEB Viaggi e Turismo Pag. 2 di 11 SOMMARIO 1. INTRODUZIONE...3 2. CARATTERISTICHE E VANTAGGI DI IN.TOUR...4 3. FUNZIONALITA E STRUTTURA SOFTWARE E HARDWARE...6 4. STRUTTURA E CONTENUTI

Dettagli

WEBsfa: l automazione della forza vendita via Web

WEBsfa: l automazione della forza vendita via Web WEBsfa: l automazione della forza vendita via Web White Paper 1 Gennaio 2005 White Paper Pag. 1 1/1/2005 L automazione della Forza Vendita Le aziende commerciali che che sviluppano e alimentano il proprio

Dettagli

2009. STR S.p.A. u.s. Tutti i diritti riservati

2009. STR S.p.A. u.s. Tutti i diritti riservati 2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE

Dettagli

Corso Android Corso Online Programmatore Android

Corso Android Corso Online Programmatore Android Corso Android Corso Online Programmatore Android Accademia Domani Via Pietro Blaserna, 101-00146 ROMA (RM) info@accademiadomani.it Programma Generale del Corso Modulo Uno - Programmazione J2ee 1) Programmazione

Dettagli

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE PREMESSA La presente guida è da considerarsi come aiuto per l utente per l installazione e configurazione di Atollo Backup. La guida non vuole approfondire

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

Punti fondamentali sulla tecnologia del sistema ABScard

Punti fondamentali sulla tecnologia del sistema ABScard Punti fondamentali sulla tecnologia del sistema ABScard Architettura ABSCARD Pagina 1 di 13 INDICE GENERALE 1 Architettura...3 1.1 Introduzione...3 1.1.1 Sicurezza...4 1.1.2 Gestione...5 1.1.3 ABScard

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Sicurezza del Web server Sicurezza Web Server (1) Perché attaccare un Web server? w Per

Dettagli

Sicurezza del Web server

Sicurezza del Web server Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it! Sicurezza del Web server 1 Sicurezza Web Server (1) Perché attaccare un Web server? w Per

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Scheda 15 Accedere ai DataBase con JDBC

Scheda 15 Accedere ai DataBase con JDBC Scheda 15 Accedere ai DataBase con JDBC G IOVANNI PULITI Panoramica: che cosa è JDBC La API JDBC, introdotta per la prima volta con il JDK 1.0, è una API che permette di accedere a database relazionali

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Concetti fondamentali dei database database Cos'è un database Principali database

Concetti fondamentali dei database database Cos'è un database Principali database Concetti fondamentali dei database Nella vita di tutti i giorni si ha la necessità di gestire e manipolare dati. Le operazioni possono essere molteplici: ricerca, aggregazione con altri e riorganizzazione

Dettagli

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini COMUNE DI NUORO D O C U M E N T O D I S P E C I F I C A P E R I L P R O D O T T O Mausoleo PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE Arch.Marco Cerina Ing.Enrico Dini Descrizione introduttiva

Dettagli

ISTITUTO STATALE D ISTRUZIONE SUPERIORE FERRARIS - BRUNELLESCHI EMPOLI

ISTITUTO STATALE D ISTRUZIONE SUPERIORE FERRARIS - BRUNELLESCHI EMPOLI ISTITUTO STATALE D ISTRUZIONE SUPERIORE FERRARIS - BRUNELLESCHI EMPOLI Anno scolastico 2014/2015 Classe: 5^A inf Prof.ssa C. Lami Prof. S. Calugi Materia: INFORMATICA GENERALE, APPLICAZIONI TECNICO SCIENTIFICHE

Dettagli

ITI M. FARADAY Programmazione modulare a.s. 2014-2015

ITI M. FARADAY Programmazione modulare a.s. 2014-2015 Indirizzo: INFORMATICA E TELECOMUNICAZIONI Disciplina: Informatica Docente:Maria Teresa Niro Classe: Quinta B Ore settimanali previste: 6 (3 ore Teoria - 3 ore Laboratorio) ITI M. FARADAY Programmazione

Dettagli

Installazione SQL Server 2005 Express Edition

Installazione SQL Server 2005 Express Edition Supporto On Line Allegato FAQ FAQ n.ro MAN-6S4ALG7637 Data ultima modifica 25/08/2010 Prodotto Tutti Modulo Tutti Oggetto Installazione SQL Server 2005 Express Edition In giallo sono evidenziate le modifiche/integrazioni

Dettagli

SDD System design document

SDD System design document UNIVERSITA DEGLI STUDI DI PALERMO FACOLTA DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA INFORMATICA TESINA DI INGEGNERIA DEL SOFTWARE Progetto DocS (Documents Sharing) http://www.magsoft.it/progettodocs

Dettagli

Sme.UP Web Application

Sme.UP Web Application Sme.UP Web Application Web Application Web.UP Una interfaccia web per i vostri dati gestionali Il modulo applicativo Web.UP fornisce al progettista di siti Internet una serie di potenti strumenti per l'integrazione

Dettagli

SIASFi: il sistema ed il suo sviluppo

SIASFi: il sistema ed il suo sviluppo SIASFI: IL SISTEMA ED IL SUO SVILUPPO 187 SIASFi: il sistema ed il suo sviluppo Antonio Ronca Il progetto SIASFi nasce dall esperienza maturata da parte dell Archivio di Stato di Firenze nella gestione

Dettagli

Progetto di Applicazioni Software

Progetto di Applicazioni Software Progetto di Applicazioni Software Antonella Poggi Dipartimento di Informatica e Sistemistica Antonio Ruberti SAPIENZA Università di Roma Anno Accademico 2008/2009 Questi lucidi sono stati prodotti sulla

Dettagli

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato SCP: SCHEDULER LAYER a cura di Alberto Boccato PREMESSA: Negli ultimi tre anni la nostra scuola ha portato avanti un progetto al quale ho partecipato chiamato SCP (Scuola di Calcolo Parallelo). Di fatto

Dettagli

I Sistemi Informativi Geografici. Laboratorio GIS 1

I Sistemi Informativi Geografici. Laboratorio GIS 1 I Sistemi Informativi Geografici Laboratorio GIS 1 Sistema Informativo Geografico Strumento computerizzato che permette di posizionare ed analizzare oggetti ed eventi che esistono e si verificano sulla

Dettagli

Diapason SalesCentral. A cura della Direzione Offering

Diapason SalesCentral. A cura della Direzione Offering Il portale commerciale di Diapason A cura della Direzione Offering Per maggiori informazioni sui benefici di SalesCentral e su come può essere utilizzato nella Sua azienda, si può mettere in contatto con

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

CONCORSO MED COMPUTER s.r.l. I.T.I.S. E. Divini. San Severino Marche

CONCORSO MED COMPUTER s.r.l. I.T.I.S. E. Divini. San Severino Marche CONCORSO MED COMPUTER s.r.l. I.T.I.S. E. Divini San Severino Marche Paciaroni Sara e Zega Michela - 1 - Titolo Some news in Med. Lasciatevi travolgere dalle nuove tecnologie. Abstract Oggi sono molte le

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

Content Management System

Content Management System Content Management System Docente: Prof. Roberto SALVATORI CARATTERISTICHE PRINCIPALI DI UN CMS In quest ultimo decennio abbiamo avuto modo di osservare una veloce e progressiva evoluzione del Web, portando

Dettagli

Mon Ami 3000 Varianti articolo Gestione di varianti articoli

Mon Ami 3000 Varianti articolo Gestione di varianti articoli Prerequisiti Mon Ami 3000 Varianti articolo Gestione di varianti articoli L opzione Varianti articolo è disponibile per le versioni Azienda Light e Azienda Pro e include tre funzionalità distinte: 1. Gestione

Dettagli

DonkeyCode. Manuale amministratore di sistema. Versione 1.0.0

DonkeyCode. Manuale amministratore di sistema. Versione 1.0.0 DonkeyCode RescueMe: globale per la gestione di catastrofi naturali Manuale amministratore di Versione 1.0.0 Ingegneria Del Software AA 2010-2011 DonkeyCode - RescueMe Informazioni documento Titolo documento:

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

INFN Security Workshop Firenze 19-20 Settembre 2000. IMHO e IMP: una interfaccia Web sicura per la posta elettronica. Raffaele.Cicchese@pr.infn.

INFN Security Workshop Firenze 19-20 Settembre 2000. IMHO e IMP: una interfaccia Web sicura per la posta elettronica. Raffaele.Cicchese@pr.infn. INFN Security Workshop Firenze 19-20 Settembre 2000 IMHO e IMP: una interfaccia Web sicura per la posta elettronica Raffaele.Cicchese@pr.infn.it Cosa significano i due acronimi IMHO e IMP? IMHO = IMAP

Dettagli

P.D.M. (Product Document Management) Hierarchycal Tree

P.D.M. (Product Document Management) Hierarchycal Tree DOKMAWEB P.D.M. (Product Document Management) Hierarchycal Tree BBL Technology Srl Via Bruno Buozzi 8 Lissone (MI) Tel 039 2454013 Fax 039 2451959 www.bbl.it www.dokmaweb.it BBL Technology srl (WWW.BBL.IT)

Dettagli

Le Basi di dati: generalità. Unità di Apprendimento A1 1

Le Basi di dati: generalità. Unità di Apprendimento A1 1 Le Basi di dati: generalità Unità di Apprendimento A1 1 1 Cosa è una base di dati In ogni modello di organizzazione della vita dell uomo vengono trattate informazioni Una volta individuate e raccolte devono

Dettagli