The OWASP Foundation. Matteo Meucci Raoul Chiesa Antonio Parata Paolo Perego Giorgio Fedon. Security Summit 2010

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "The OWASP Foundation. Matteo Meucci Raoul Chiesa Antonio Parata Paolo Perego Giorgio Fedon. http://www.owasp.org. Security Summit 2010"

Transcript

1 OWASP: linee guida e tool per la sicurezza delle applicazioni web Security Summit 2010 Matteo Meucci Raoul Chiesa Antonio Parata Paolo Perego Giorgio Fedon Milano 18 Marzo 2010 Copyright The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation

2 Agenda del seminario Introduzione al Capitolo Italiano del progetto OWASP (M.Meucci, R. Chiesa) Linee guida OWASP per lo sviluppo sicuro (A. Parata) - OWASP Building Guide - OWASP Tool: ESAPI Secure Code Review (P.Perego) - OWASP Code Review Guide - OWASP tools: Orizon, O2 Web Application Penetration Testing (G. Fedon) - OWASP Testing Guide - OWASP tools: WebScarab, DirBuster, CAL9000

3 Introduzione al capitolo Italiano del progetto OWASP

4 Who am I? Research OWASP-Italy Chair OWASP Testing Guide Lead Work Minded Security Application Security Consulting 9+ years on Information Security focusing on Application Security

5 Il progetto Open Web Application Security Project (OWASP) è una organizzazione Open Source dedicata alla creazione e alla diffusione di una cultura per quanto riguarda la sicurezza delle applicazioni web Progetto free, come il materiale disponibile sul portale Migliaia di membri, +130 capitoli locali e altri partecipanti ai progetti. Milioni di hit su al mese OWASP-Italy nasce a Gennaio del 2005 con l obiettivo di far conoscere i progetti OWASP e la Web Application Security in Italia

6 OWASP Worldwide Community Participants Chapters 6

7 La base di conoscenza di OWASP 6,381 Articoli 427 presentazioni 200 aggiornamenti/giorno 271 mailing lists 180 blog monitorati

8 Linee Guida OWASP Gratuite e open source Libri a basso costo Coprono tutti i controlli di sicurezza Centinaia di esperti che collaborano Coprono tutti gli aspetti di sicurezza applicativa Security Summit 18th, March 2010 OWASP-Italy 8

9 Principali progetti OWASP BOOKS Owasp top10 Building guide Code review guide Testing guide TOOLS WebGoat WebScarab SQLMap SQL Ninja SWF Intruder Orizon Code Crawler

10 OWASP-Italy e la ricerca OWASP Italy nasce nel Gennaio 2005 Raccoglie centinaia di persone appassionate alla Web Application Security Obiettivi Organizzazione conferenze Scrittura articoli Sviluppo tool Sviluppo documentazione e linee guida La ricerca come base per l industria Mai come nell application security si ha un esigenza di ricerca per lo sviluppo di attività di innovazione

11 OWASP-Italy Days!

12 OWASP-Italy News Partnership: CLUSIT, IsecLab, Isaca Roma Università La Sapienza Dipartimento di Informatica, Università del Sannio OWASP Tesi Prof. Aaron Visaggio Nuovi nomi testing guide per uniformare le OWASP guide Iscrivetevi alla mailing list OWASP-it!

13 OWASP Code Review Guide

14 Agenda Dalla teoria The Owasp Code Review Guide Alla pratica Owasp Orizon Owasp O2 Platform OWASP 2 Thursday, March 18, 2010

15 $ whoami Owasp Italy R&D director Owasp Orizon Project leader Open source enthusiast since 1996 Developer since 1985 Senior consultant at Reply OWASP 3 Thursday, March 18, 2010

16 Ho un problema... More and More application level issues Sept/Oct 2008 SQL Injection $9,000,000 in 24 Hours (RBS) Business Logic Exploited in US Army Servers May, 2009 HSBC and Barclays sites were both hit by major XSS vulnerabilities - June 2009 The Telegraph site was exposed by a severe SQL injection vulnerability - June 2009 In the last five years, approximately 500 million records containing personal identifying information of United States residents stored in government and corporate databases was either lost Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009 or stolen. - OWASP 4 Thursday, March 18, 2010

17 ... che ricorre da molto tempo... Eg: XSS was discovered circa 1996 Initially is was a curiosity Evolved to an exploit Further evolution to a worm MySPACE- SAMMY WORM 2005, first self propagating xss worm Wide scale problem, 13 years later! Toolkits: Mpack, LuckySploit, ISR-Evilgrade etc Attacking the client: Phisihing, Malware Upload Ironically easy to fix and detect but 60%-70% of sites are vulnerable.. Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009 OWASP 5 Thursday, March 18, 2010

18 ... e per il quale la soluzione non è banale. Budget IT // security non adeguati indirizzati alla sicurezza perimetrale dedicati a costose soluzioni commerciali Mentalità eterno conflitto security guys vs developers passare ad un SSDLC significa cambiare modo di lavorare Know-how mettere in piedi un SSDLC non è banale sono richieste competenze di sviluppo e di security manca la figura dell application security specialist OWASP 6 Thursday, March 18, 2010

19 Dalla teoria... OWASP 7 Thursday, March 18, 2010

20 The Owasp Code review guide Project leader: Eoin Keary Progetto nato nel 2005 Punto di riferimento per la tematica di sicurezza legata al codice Indirizza come effettuare una revisione del codice quali i pattern da cercare quali i tool da utilizzare Secondo libro Owasp più venduto nel 2008 OWASP 8 Thursday, March 18, 2010

21 Perché fare una code review Perché un controllo a run-time (dicasi penetration test) non valuta bene la business logic dell applicazione poco efficace di fronte ad applicazioni complesse identifica il sintomo del problema ma non la causa mi dice che ho la vulnerabilità X non mi dice in che punto del codice introduco la vulnerabilità X Approccio duplice automatico manuale OWASP 9 Thursday, March 18, 2010

22 Code review automatica Pro accurata nell identificare anomalie nel codice in grado di evidenziare problemi legati alla qualità del codice Contro non sempre il codice è disponibile legato all approccio usato dai tool commerciali legato all utilizzo di librerie di terze parti enorme mole di falsi positivi enorme enorme» enorme» (no, non mi sono addormentato sulla tastiera :-)) OWASP 10 Thursday, March 18, 2010

23 Code review manuale Pro rileva problemi di business logic backdoor problemi legati alla privacy e come i dati sono trattati efficace a livello tecnologico tanto quanto la code review automatica mitiga il numero di falsi positivi Contro attività time-consuming e costosa spesso si fa una revisione manuale solo di applicazioni business critical necessita di skill adeguate codice scritto male può essere difficile o impossibile da rivedere OWASP 11 Thursday, March 18, 2010

24 Ehi... ma ho comprato un tool di analisi statica che... La sola analisi dinamica è debole verso applicazioni senza i dovuti controlli di security niente controlli = niente codice da revisionare niente codice = nessun finding da parte del tool nessun finding = applicazione sicura controlli di tipo matematico gestione degli overflow numerici conversione tra unità di misura differenti funzionalità con precisi vincoli di policy password policy OWASP 12 Thursday, March 18, 2010

25 ... alla pratica OWASP 13 Thursday, March 18, 2010

26 Owasp Orizon Project 2.0 Project leader: Paolo Perego Progetto nato nel 2006 revisionato profondamente nel 2009 in attesa di definitiva incarnazione nel 2010 La versione 2.0 dovrebbe essere rilasciata a Giugno durante l Owasp AppSEC conference a Stoccolma Highlight scritto in Java linee di codice (commenti inclusi) per la versione 1.39 svn co https://orizon.svn.sourceforge.net/svnroot/orizon orizon download it read it love it OWASP 14 Thursday, March 18, 2010

27 Owasp Orizon Project 2.0 osh web gui Owasp Orizon SkyLine Owasp orizon library Owasp Orizon core (candlekeep engine) database backend OWASP 15 Thursday, March 18, 2010

28 Owasp Orizon Project 2.0 Pro analizza il codice sorgente (i tool commerciali analizzano l equivalente compilato) l analisi non è influenzata dalle scelte di ottimizzazione del compilatore la mancata presenza di librerie di terze parti non inficia l analisi supporto per vari linguaggi di programmazione Contro difficile da utilizzare limitata libreria di pattern di programmazione insicura scarsa documentazione OWASP 16 Thursday, March 18, 2010

29 Owasp O2 Platform Project Project leader: Dinis Cruz Progetto nato nel 2008 Si appoggia su diversi motori di scansione commerciali IBM Rational AppScan Source edition (aka Ounce) Fortify opensource codecrawler yasca CAT.NET Findbugs Ha lo scopo di aiutare un revisore di codice a tener traccia del flusso delle variabili e dell esecuzione del programma della propagazione dei pattern d attacco all interno della logica applicativa OWASP 17 Thursday, March 18, 2010

30 Owasp O2 Platform Project Insieme di moduli Sviluppato in C# O2 MODULES - DEVELOPMENT STATE ACTIVE O2 Tool - Findings Viewer O2 Tool - CirViewer O2 Tool - Rules Manager O2 Cmd - Findings Filter O2 Cmd - Spring MVC O2 Tool - Join Traces O2 Debugger Mdbg O2 Tool - CSharpScripts O2 Scanner - MsCatNet O2 Tool - Host Local Website O2 Tool - Java Execution O2 Tool - O2 Scripts O2 Tool - Python O2 Tool - Search Engine LEGACY O2 Scanners O2 Tool - DotNet Callbacks Maker O2 Tool - Findings Query O2 Tool - Search Assessment Run O2 Tool - View Assessment Run O2 Tool - WebInspect Converter O2 Tool - Filter Assessment Files O2 Tool - O2 Reflector O2 developer senior consultant security consultant analyst manager GEEK-O-METER Wednesday, 19 August 2009 Courtesy by Dinis Cruz, first appeared in O2 presentation in Ottawa, Canada, August 2009 OWASP 18 Thursday, March 18, 2010

31 Qualche link Owasp Code review guide:http://svel.to/v2 Owasp Orizon blog: Owasp Owasp O2 Platform project: Mail me: OWASP 19 Thursday, March 18, 2010

32 Thanks! OWASP 20 Thursday, March 18, 2010

33 OWASP Building Guide

34 Agenda Introduzione Struttura di una Enterprise Application ESAPI Api Development Guide Conclusioni 15

35 Chi sono Security Consultant in Emaze Networks Collaboro con il gruppo di ricerca indipendente USH Co-autore dell owasp testing guide 3.0 e 2.0 Application Security Enthusiast OWASP Day III 23rd, February 2009 OWASP-Italy 3

36 Introduzione Ogni applicazione dovrebbe essere sviluppata tenendo ben presente il fattore sicurezza Se possibile usare un ciclo di sviluppo software security oriented (SSDLC) Tra le fasi più critiche per quel che riguarda la sicurezza vi è la fase di implementazione

37 Struttura di una Enterprise Application Architettura multi-layer e multi-tier Complessa Logica di Business Manipola una grande quantità di dati che spesso risultano essere riservati Necessita di rendere i dati persistenti Si deve integrare con applicazioni enterprise già esistenti La maggior parte ha una qualche forma di interazione web

38 Introduzione - nascita di una vulnerabilità Threat Agent Vector Vulnerability Control Technical Impact Business Impact Vector Business Impact Vector Vulnerability Control Asset Business Impact Vector Vulnerability Missing Control Vector Vulnerability Function Business Impact Asset Vector Vulnerability Control

39 OWASP Enterprise Security API ESAPI Definisce una serie di interfacce utili per l implementazione di codice sicuro Espone delle implementazione di base delle interfacce attraverso il pattern Singleton È possibile fornire la propria implementazione delle varie interfacce

40 OWASP Enterprise Security API ESAPI Custom Enterprise Web Application Enterprise Security API Authenticator User AccessController AccessReferenceMap Validator Encoder HTTPUtilities Encryptor EncryptedProperties Randomizer Exception Handling Logger IntrusionDetector SecurityConfiguration Existing Enterprise Security Services/Libraries

41 Validator Example using System; using Owasp.Esapi; using Owasp.Esapi.Interfaces; namespace ESAPI_Example { internal sealed class PasswordStrengthValidator { private const String ValidationRuleName = "passwordstrengthvalidator"; public PasswordStrengthValidator() { Esapi.Validator.AddRule(ValidationRuleName, new PasswordStrengthValidationRule()); } public Boolean Validate(String password) { return Esapi.Validator.IsValid(ValidationRuleName, password); } } } internal class PasswordStrengthValidationRule : IValidationRule { public Boolean IsValid(String password) { return password.length > 8; } }

42 Copertura ESAPI OWASP Top Ten A1. Cross Site Scripting (XSS) A2. Injection Flaws A3. Malicious File Execution A4. Insecure Direct Object Reference A5. Cross Site Request Forgery (CSRF) A6. Leakage and Improper Error Handling A7. Broken Authentication and Sessions A8. Insecure Cryptographic Storage A9. Insecure Communications A10. Failure to Restrict URL Access OWASP ESAPI Validator, Encoder Encoder HTTPUtilities (Safe Upload) AccessReferenceMap, AccessController User (CSRF Token) EnterpriseSecurityException, HTTPUtils Authenticator, User, HTTPUtils Encryptor HTTPUtilities (Secure Cookie, Channel) AccessController

43 Development Guide Descrive delle linee guide per l implementazione sicura delle applicazioni web È in fase di stesura la nuova release 2010 A chi è rivolta Sviluppatori, per poter apprendere in che modo scrivere del codice più sicuro Project Manager, per poter capire quali sono le attività che dovranno essere svolte per creare un software sicuro Security Guys per apprendere le tematiche di secure coding e sapere come applicarle

44 Development Guide Argomenti trattati Secure Coding Principles Minimize Attack Surface Area Secure Defaults Principle of Least Privilege Threat Risk Modeling Identificazione delle minacce Identificazione delle vulnerabilità Identificazione degli assets Identificazione degli errori più diffusi Cross Site Scripting SQL Injection

45 Conclusioni OWASP Development Guide per creare awareness nella fase di sviluppo software OWASP ESAPI un aiuto concreto all implementazione di applicazioni enterprise più sicure Un grande aiuto ma non sono sufficienti, bisogna considerare altri aspetti come Security Testing & Penetration Testing Secure deployment Code Review

46 Conclusioni Domande?

47 OWASP Testing Guide

48 Presentazione Ricerca OWASP Italy - Technical Director OWASP Antimalware project leader Testing Guide Contributor Analisi e scoperta di importanti problematiche di sicurezza Minded Security Chief Operation Officer Leading hundreds of Penetration Testing activities and Code Reviews; many of them for the Bank Industry Blog: 28

49 Project History & Complexity Pages v1 v1.1 v2 v3 Pages

50 OWASP Testing Guide v3: roadmap 26th April 2008: start the new project OWASP Leaders brainstorming Call for participation: 21 authors Index brainstorming Discuss the article content 20th May 2008: New draft Index 1st June 2008: Let's start writing! 27th August 2008: started the reviewing phase: 4 Reviewers October 2008: Review all the Guide December 2008: published the new version of the OWASP Testing Guide: (347pages +80!)

51 Testing Guide v3: Index 1. Frontispiece 2. Introduction 3. The OWASP Testing Framework 4. Web Application Penetration Testing 5. Writing Reports: value the real risk Appendix A: Testing Tools Appendix B: Suggested Reading Appendix C: Fuzz Vectors Appendix D: Encoded Injection SANS Top NIST Technical Guide to Information Security Testing (Draft) Gary McGraw (CTO Cigital) says: In my opinion it is the strongest piece of Intellectual Property in the OWASP portfolio

52 Testing paragraph template Brief Summary Describe in "natural language" what we want to test. The target of this section is non-technical people (e.g.: client executive) Description of the Issue Short Description of the Issue: Topic and Explanation Black Box testing and example How to test for vulnerabilities: Result Expected:... Gray Box testing and example How to test for vulnerabilities: Result Expected:... References Whitepapers Tools Example 32

53 Introduction to the methodology In the next slides we will look at a few examples of tests/attacks and at some real-world cases... 33

54 Information Gathering The first phase in security assessment is of course focused on collecting all the information about a target application. Using public tools it is possible to force the application to leak information by sending messages that reveal the versions and technologies used by the application Available techniques include: Testing: Spiders, robots, and Crawlers (OWASP-IG-001) Search engine discovery/reconnaissance (OWASP-IG-002) Identify application entry points (OWASP-IG-003) Web Application Fingerprint (OWASP-IG-004) Application Discovery (OWASP-IG-005) Analysis of Error Codes (OWASP-IG-006) 34

55 Information Gathering (cont.) Application Fingerprint Knowing the version and type of a running web server allows testers to determine known vulnerabilities and the appropriate exploits to use along the tests. Netcat is the tool of choice for this very well known technique $ nc HEAD / HTTP/1.0 HTTP/ OK Date: Mon, 16 Jun :53:29 GMT Server: Apache/1.3.3 (Unix) (Red Hat/Linux) Last-Modified: Wed, 07 Oct :18:14 GMT ETag: " b-361b4df6" Accept-Ranges: bytes Content-Length: 1179 Connection: close Content-Type: text/html 35

56 Configuration Management Testing SSL/TLS Testing (OWASP-CM-001) DB Listener Testing (OWASP-CM-002) Infrastructure Configuration Management Testing (OWASP-CM-003) Application Configuration Management Testing (OWASP-CM-004) Testing for File Extensions Handling (OWASP-CM-005) Old, Backup and Unreferenced Files (OWASP-CM-006) Infrastructure and Application Admin Interfaces (OWASP-CM-007) Testing for HTTP Methods and XST (OWASP-CM-008)

57 Configuration Management: example Access to TomCat Admin Interface

58 Error codes: example ERROR: --- The error occurred in ibatis/categorie_abc.xml. --- The error occurred while preparing the mapped statement for execution. --- Check the getbylogicalcategoryid. --- Cause: java.sql.sqlexception: Invalid parameter object type. Expected 'java.lang.long' but found 'java.lang.double'

59 Tools: OWASP Web Scarab

60 Tools: OWASP DirBuster

61 Tools: OWASP CAL 9000

62 Thank you! 42

OWASP Day IV: introduzione

OWASP Day IV: introduzione OWASP Day IV: introduzione Matteo Meucci OWASP-Italy Chair CEO Minded Security OWASP-Italy Day IV Milan 6th, November 2009 Copyright 2008 - The OWASP Foundation Permission is granted to copy, distribute

Dettagli

Introduzione all OWASP- Day II

Introduzione all OWASP- Day II Introduzione all OWASP- Day II Matteo Meucci OWASP-Day Università La Sapienza Rome 31 st March, 2008 OWASP-Italy Chair CEO Minded Security matteo.meucci@owasp.org Copyright 2007 - The OWASP Foundation

Dettagli

Come valutare la maturità del proprio modello di sviluppo del software

Come valutare la maturità del proprio modello di sviluppo del software Come valutare la maturità del proprio modello di sviluppo del software Matteo Meucci Chair OWASP Day per la PA Roma 9, Novembre 2010 Copyright 2010 - The OWASP Foundation Permission is granted to copy,

Dettagli

OWASP e gli standard per la sicurezza applicativa

OWASP e gli standard per la sicurezza applicativa OWASP e gli standard per la sicurezza applicativa Matteo Meucci OWASP-Italy Chair OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation Permission is granted to copy, distribute

Dettagli

Progetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation http://www.owasp.org

Progetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation http://www.owasp.org Progetti Open Source Per La Sicurezza Delle Web Applications Marco Morana Mercoledi 5 Novembre 2008 Giornata Della Sicurezza Informatica In Sardegna Copyright 2008 - The Foundation Permission is granted

Dettagli

Le linee guida OWASP per la sicurezza applicativa

Le linee guida OWASP per la sicurezza applicativa Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission

Dettagli

Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool

Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool Matteo Meucci Paolo Perego Security Summit 2011 Giorgio Fedon Milan 15th March, 2011 Copyright 2011- The OWASP Foundation Permission

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

Secure Code Review: dalla teoria alla pratica

Secure Code Review: dalla teoria alla pratica Secure Code Review: dalla teoria alla pratica Antonio Parata http://www.emaze.net Antonio.parata@emaze.net OWASP-Day III Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

La gestione della sicurezza applicativa nelle aziende italiane

La gestione della sicurezza applicativa nelle aziende italiane La gestione della sicurezza applicativa nelle aziende italiane Matteo Meucci, CISSP, CISA Chair CEO @ Minded Security Security Summit 20 Marzo 2012, Milano Copyright 2007 - The OWASP Foundation Permission

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted

Dettagli

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel

Dettagli

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti Le problematiche di Web Application Security: la visione di ABI Lab Matteo Lucchetti Senior Research Analyst ABI Lab OWASP-Day II Università La Sapienza, Roma 31st, March 2008 Copyright 2008 - The OWASP

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

Security Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e

Security Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e Security Summit 2010 Insert Company L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e L evoluzione nella sicurezza delle applicazioni

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

La gestione della sicurezza applicativa nelle aziende italiane

La gestione della sicurezza applicativa nelle aziende italiane La gestione della sicurezza applicativa nelle aziende italiane (Matteo Meucci CISA CISSP OWASP-Italy Minded Security ) 17 Aprile 2012 Pag. 1 INDICE DELLA PRESENTAZIONE : Introduzione alla sicurezza del

Dettagli

Introduzione all ambiente di sviluppo

Introduzione all ambiente di sviluppo Laboratorio II Raffaella Brighi, a.a. 2005/06 Corso di Laboratorio II. A.A. 2006-07 CdL Operatore Informatico Giuridico. Introduzione all ambiente di sviluppo Raffaella Brighi, a.a. 2005/06 Corso di Laboratorio

Dettagli

GoCloud just google consulting

GoCloud just google consulting La visione Cloud di Google: cosa cambia per i profili tecnici? GoCloud just google consulting Workshop sulle competenze ed il lavoro degli IT Systems Architect Vincenzo Gianferrari Pini

Dettagli

The quest for secure code

The quest for secure code The quest for secure code Paolo Perego Owasp Italy @eacademy 2006 Security consultant Spike Reply thesp0nge@gmail.com 4-7 Ottobre 2006 Copyright The Foundation Permission is granted to copy, distribute

Dettagli

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it CMS Hacking Analisi del rischio di utilizzo di applicazioni di terze parti Gabriele Buratti www.isc2chapter-italy.it Agenda Definizione di CMS Rischi e tendenze (e le ragioni di ciò) Attacchi recenti Perchè

Dettagli

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com $whois Paolo Stagno Luca Poletti http://voidsec.com voidsec@voidsec.com Nell anno 2013: Aumento del 30% degli attacchi a siti e web application 14 zero-day 5,291 nuove vulnerabilità scoperte, 415 di queste

Dettagli

4th International Conference in Software Engineering for Defence Applications SEDA 2015

4th International Conference in Software Engineering for Defence Applications SEDA 2015 me Ho CALL FOR PAPERS: 4th International Conference in Software Engineering for Defence Applications SEDA 2015 Software Engineering aims at modeling, managing and implementing software development products

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

Aspetti di sicurezza per l innovazione nel Web

Aspetti di sicurezza per l innovazione nel Web Aspetti di sicurezza per l innovazione nel Web Attacchi tipo Drive-by Downloads e x-morphic Simone Riccetti IBM Security Services Sr. IT Security Architect Agenda Web 2.0: Evoluzione delle minacce Attacchi

Dettagli

Programmazione Android

Programmazione Android Programmazione Android Giovanni Perbellini, Stefano Cordibella Università di Verona EDALab S.r.l. Agenda Introduzione Android Overview Ambiente di sviluppo Esempi Helloworld Weather 2 1 Cos è Android?

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto

Dettagli

Eco-REFITec: Seminary and Training course

Eco-REFITec: Seminary and Training course Eco-REFITec: Seminary and Training course About Eco-REFITec: Eco-REFITEC is a research project funded by the European Commission under the 7 th framework Program; that intends to support repair shipyards

Dettagli

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

PROFILI PROFESSIONALI (Allegato 5.3)

PROFILI PROFESSIONALI (Allegato 5.3) PROCEDURA DI SELEZIONE PER IL SERVIZIO DI MANUTENZIONE CORRENTE, CORRETTIVA ED EVOLUTIVA DEL PORTALE E DELLA INTRANET DELLA CCIAA DI MILANO E DEL PORTALE DI INNOVHUB SSI_CIG 6519618EF5 PROFILI PROFESSIONALI

Dettagli

Modello di sicurezza Datocentrico

Modello di sicurezza Datocentrico Modello di sicurezza Datocentrico I dati sono ovunque Chi accede ai dati, a dove accede ai dati e a quali dati accede? Public Cloud Desktop Virtualization Private Cloud Server Virtualization Proteggere

Dettagli

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze

Dettagli

Security policy e Risk Management: la tecnologia BindView

Security policy e Risk Management: la tecnologia BindView NETWORK SECURITY COMPANY Security policy e Risk Management: la tecnologia BindView www.bindview.com Luca Ronchini lr@symbolic.it Security policy e Risk Management : vulnerabilty management e security assessment,

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Assignment (1) - Varie

Assignment (1) - Varie Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it!

Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Elementi di Sicurezza e Privatezza Laboratorio 6 - Vulnerabilità di applicazioni Web (1) Chiara Braghin chiara.braghin@unimi.it! Assignment (1) - Varie Al link http://www.dti.unimi.it/braghin/ elementi/lab/lista_consegnati.pdf

Dettagli

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza Massimo Caprinali Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza 2009 IBM CIO Survey: Risk Management e Compliance sono considerati fra gli elementi piu importanti del

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

ALLEGATO 1.1 PROFILI PROFESSIONALI

ALLEGATO 1.1 PROFILI PROFESSIONALI PROCEDURA APERTA PER L AFFIDAMENTO DEL SERVIZIO DI PROGETTAZIONE, ANALISI, SVILUPPO, MANUTENZIONE ADEGUATIVA, CORRETTIVA ED EVOLUTIVA DI SISTEMI INFORMATIVI BASATI SU TECNOLOGIE JAVA E PHP CIG. 56017538CE

Dettagli

Protocolli di Sessione TCP/IP: una panoramica

Protocolli di Sessione TCP/IP: una panoramica Protocolli di Sessione TCP/IP: una panoramica Carlo Perassi carlo@linux.it Un breve documento, utile per la presentazione dei principali protocolli di livello Sessione dello stack TCP/IP e dei principali

Dettagli

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it Vulnerabilità dei CMS Joomla, Wordpress, ecc. Articoli tratti dal sito html.it e informaticamente.pointblog.it -------------------------------------------------------------------------------------------------------------

Dettagli

Bozza Guida ufficiale vs 1.0

Bozza Guida ufficiale vs 1.0 Bozza Guida ufficiale vs 1.0 Caratteristiche del software Videocopen è un software open source di videoconferenza. Sviluppato in php per la parte web e macromedia flash per la videoconferenza, sfrutta

Dettagli

Laurea Specialistica in Informatica Struttura e Configurazione di Sistemi Liberi. [Sviluppo di un progetto FOSS]

Laurea Specialistica in Informatica Struttura e Configurazione di Sistemi Liberi. [Sviluppo di un progetto FOSS] Sviluppo di un progetto FOSS 1 Obiettivo Prima lezione di Raymond: Ogni buon lavoro sw inizia dalla frenesia personale di un programmatore Due tipologie di progetti FOSS: di interesse per gli sviluppatori

Dettagli

Consumerizzazione e BYOD, nuove sfide per l IT Manager Maurizio Martinozzi

Consumerizzazione e BYOD, nuove sfide per l IT Manager Maurizio Martinozzi Consumerizzazione e BYOD, nuove sfide per l IT Manager Maurizio Martinozzi Manager Sales Engineering 25 Settembre 2013 Agenda BYOD: opportunità o problema Come cambia il mercato I rischi La tecnologia

Dettagli

Qlik Services. Roma 10 Giugno, 2015

Qlik Services. Roma 10 Giugno, 2015 Qlik Services Roma 10 Giugno, 2015 By 2015, the shifting tide of BI platform requirements, moving from reporting-centric to analysis-centric, will mean the majority of BI vendors will make governed data

Dettagli

L o. Francesco Cabras. http://paneb.dyndns.org. un sistema integrato per la gestione dei progetti di sviluppo software

L o. Francesco Cabras. http://paneb.dyndns.org. un sistema integrato per la gestione dei progetti di sviluppo software Introduzione a Trac L o un sistema integrato per la gestione dei progetti di sviluppo software Francesco Cabras http://paneb.dyndns.org 1 Introduzione Trac è un sistema web-based per la gestione dello

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma,

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza.

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza. HP Consulting Claudio De Paoli Security Solution Lead filename\location Page 1 AGENDA Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza filename\location Page

Dettagli

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato Intalio Convegno Open Source per la Pubblica Amministrazione Leader nei Sistemi Open Source per il Business Process Management Navacchio 4 Dicembre 2008 Andrea Calcagno Amministratore Delegato 20081129-1

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Progetto: JNSIL LEAF. Presentazione: nuova procedura Java based e cross Platform per la gestione di LEAsing e Finanziamenti

Progetto: JNSIL LEAF. Presentazione: nuova procedura Java based e cross Platform per la gestione di LEAsing e Finanziamenti Progetto: JNSIL LEAF Presentazione: nuova procedura Java based e cross Platform per la gestione di LEAsing e Finanziamenti Negli ultimi anni si è diffuso il trend di trasformare applicazioni pensate per

Dettagli

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10 Soluzioni software di EDM "Electronic Document Management" Gestione dell archiviazione, indicizzazione, consultazione e modifica dei documenti elettronici. Un approccio innovativo basato su tecnologie

Dettagli

REGISTRATION GUIDE TO RESHELL SOFTWARE

REGISTRATION GUIDE TO RESHELL SOFTWARE REGISTRATION GUIDE TO RESHELL SOFTWARE INDEX: 1. GENERAL INFORMATION 2. REGISTRATION GUIDE 1. GENERAL INFORMATION This guide contains the correct procedure for entering the software page http://software.roenest.com/

Dettagli

Fast Track Navision - Development

Fast Track Navision - Development Fast Track Navision - Development Implementation Methodology Sales Phase Il cliente è ancora un prospect E importante per capire la complessità del progetto e per mettere in evidenza i principali punti

Dettagli

CORSO DI PROGRAMMAZIONE JAVA

CORSO DI PROGRAMMAZIONE JAVA CORSO DI PROGRAMMAZIONE JAVA Corso di Programmazione Java Standard Edition ( MODULO A) OBIETTIVI ll corso ha come obiettivo quello di introdurre la programmazione a oggetti (OOP) e di fornire solide basi

Dettagli

How to use the WPA2 encrypted connection

How to use the WPA2 encrypted connection How to use the WPA2 encrypted connection At every Alohawifi hotspot you can use the WPA2 Enterprise encrypted connection (the highest security standard for wireless networks nowadays available) simply

Dettagli

Progetto Michelangelo. Click4Care - ThinkHealth System. Paolo Rota Sperti Roma, 08 Novembre 2008. 2008 Pfizer Italy. Tutti i diritti riservati.

Progetto Michelangelo. Click4Care - ThinkHealth System. Paolo Rota Sperti Roma, 08 Novembre 2008. 2008 Pfizer Italy. Tutti i diritti riservati. Progetto Michelangelo Click4Care - ThinkHealth System Paolo Rota Sperti Roma, 08 Novembre 2008 2008 Pfizer Italy. Tutti i diritti riservati. 1 Storia Pfizer ha sviluppato negli ultimi anni know-how nel

Dettagli

alessandro.scotti@it.ibm.com luca.lazzaro@it.ibm.com Alessandro Scotti/Luca Lazzaro - IBM Javaday IV Roma 30 gennaio 2010

alessandro.scotti@it.ibm.com luca.lazzaro@it.ibm.com Alessandro Scotti/Luca Lazzaro - IBM Javaday IV Roma 30 gennaio 2010 alessandro.scotti@it.ibm.com luca.lazzaro@it.ibm.com Nuovi modi di fare software DOBBIAMO COLLABORARE! E ADESSO COME FACCIO AD ACCONTENTARE TUTTI?!? SOLO UN PROCESSO AGILE MI PUO AIUTARE! VOGLIO WEB 2.0,

Dettagli

VisualStore Guida Attivazione Licenze. Guida Utente

VisualStore Guida Attivazione Licenze. Guida Utente VisualStore Guida Attivazione Licenze Guida Utente 7 th Edition ( July 2014 ) This edition applies to Version 4.x and 5.x of the licensed program VisualStore Suite and to all subsequent releases and modifications

Dettagli

Oracle Database 11g: Workshop di amministrazione I Release 2

Oracle Database 11g: Workshop di amministrazione I Release 2 Oracle University Contact Us: 800 672 253 Oracle Database 11g: Workshop di amministrazione I Release 2 Duration: 5 Days What you will learn Agli utenti che desiderano diventare professionisti Oracle viene

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

La Roadmap dello sviluppo per System i5: dalle Applicazioni Legacy alla SOA

La Roadmap dello sviluppo per System i5: dalle Applicazioni Legacy alla SOA IBM System i5 La Roadmap dello sviluppo per System i5: dalle Applicazioni Legacy alla SOA Massimo Marasco System i Technical Sales Support massimo_marasco@it.ibm.com Oriented Architecture (SOA) Servizio

Dettagli

Vulnerabilità informatiche (semplici)..

Vulnerabilità informatiche (semplici).. Vulnerabilità informatiche (semplici).. in infrastrutture complesse....il contenuto di questo speech è di pura fantasia, ogni riferimento a infrastrutture reali o fatti realmente accaduti è puramente casuale

Dettagli

Corso: Advanced Solutions of Microsoft SharePoint Server 2013 Codice PCSNET: MSP2-5 Cod. Vendor: 20332 Durata: 5

Corso: Advanced Solutions of Microsoft SharePoint Server 2013 Codice PCSNET: MSP2-5 Cod. Vendor: 20332 Durata: 5 Corso: Advanced Solutions of Microsoft SharePoint Server 2013 Codice PCSNET: MSP2-5 Cod. Vendor: 20332 Durata: 5 Obiettivi Descrivere le funzionalità di base di SharePoint 2013 Pianificare e progettare

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

LA TECNOLOGIA CONTRO L HACKING

LA TECNOLOGIA CONTRO L HACKING LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.

Dettagli

Fortify. Proteggete il vostro portfolio applicativo

Fortify. Proteggete il vostro portfolio applicativo Fortify 360 Proteggete il vostro portfolio applicativo Fortify L approccio di tipo olistico adottato da Fortify alla sicurezza delle applicazioni protegge concretamente la nostra impresa dalle odierne

Dettagli

Sistemi di BPM su Cloud per la flessibilità delle PMI

Sistemi di BPM su Cloud per la flessibilità delle PMI Sistemi di BPM su Cloud per la flessibilità delle PMI Marco Brambilla, WebRatio e Politecnico di Milano ComoNEXT Lomazzo, 14 Novembre 2012 Dall esigenza Flessibilità del business Risposta immediata ai

Dettagli

Università degli Studi "Roma Tre" Dipartimento di Informatica ed automazione. Facoltà di Ingegneria. Laurea Magistrale in Ingegneria Informatica

Università degli Studi Roma Tre Dipartimento di Informatica ed automazione. Facoltà di Ingegneria. Laurea Magistrale in Ingegneria Informatica Università degli Studi "Roma Tre" Dipartimento di Informatica ed automazione Facoltà di Ingegneria Laurea Magistrale in Ingegneria Informatica Tesi di Laurea Sistema informativo per la gestione dei processi

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo Contestualizzazione tecnologica Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica Politecnico

Dettagli

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it )

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it ) CEPIS e-cb Italy Report Roberto Bellini (da leggere su www.01net.it ) Free online selfassessment tool Online services Enables the identification of competences needed for various ICT roles e-cf Competences

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Test e collaudo del software Continuous Integration and Testing

Test e collaudo del software Continuous Integration and Testing Test e collaudo del software Continuous Integration and Testing Relatore Felice Del Mauro Roma, Cosa è la Continuous Integration A software development practice where members of a team integrate their

Dettagli

La sfida che si può vincere: innovare ed essere più competitivi riducendo i costi IT Brunello Bonanni Center of Excellence Manager IBM Italia

La sfida che si può vincere: innovare ed essere più competitivi riducendo i costi IT Brunello Bonanni Center of Excellence Manager IBM Italia La sfida che si può vincere: innovare ed essere più competitivi riducendo i costi IT Brunello Bonanni Center of Excellence Manager IBM Italia Le aziende sono sotto pressione Le aziende sentono la pressante

Dettagli

Quaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP

Quaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP Quaderni Clusit 004 La verifica della sicurezza di applicazioni Web-based ed il R. Chiesa, L. De Santis, M. Graziani, L. Legato, M. Meucci, A. Revelli La verifica della sicurezza di applicazioni Web-based

Dettagli

Corso: C/Side Solution Development in Microsoft Dynamics NAV 2013 Codice PCSNET: MDYN-48 Cod. Vendor: 80437 Durata: 5

Corso: C/Side Solution Development in Microsoft Dynamics NAV 2013 Codice PCSNET: MDYN-48 Cod. Vendor: 80437 Durata: 5 Corso: C/Side Solution Development in Microsoft Dynamics NAV 2013 Codice PCSNET: MDYN-48 Cod. Vendor: 80437 Durata: 5 Obiettivi Spiegare i diversi tipi di tabelle e le loro caratteristiche. Presentare

Dettagli

Riccardo Sponza Technical Evangelism Manager Microsoft Italia

Riccardo Sponza Technical Evangelism Manager Microsoft Italia Riccardo Sponza Technical Evangelism Manager Microsoft Italia SOA/EDA Composite Apps Software + Services Esercizio EAI Integrazione Punto-a-Punto Web services Consolidamento dell Infrastruttira Razionalizzazione

Dettagli

JDBC: Introduzione. Java Database Connectivity (JDBC): parte 1. Schema dei legami tra le classi principali. Principali classi/interfacce di JDBC

JDBC: Introduzione. Java Database Connectivity (JDBC): parte 1. Schema dei legami tra le classi principali. Principali classi/interfacce di JDBC JDBC: Introduzione Java Database Connectivity (JDBC): parte 1 Gianluca Moro DEIS - Università di Bologna gmoro@deis.unibo.it Java Database Connectivity è il package Java per l accesso a database relazionali

Dettagli

Java. Traditional portability (ideal)

Java. Traditional portability (ideal) 1 Java JAVA: una introduzione 2 Traditional portability (ideal) C-code (Linux) (Pentium) Executable (Linux) Executable (Win32) Linux Windows 32 (Mac) Executable (Mac) Mac 1 1 3 Portability of Java programs

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona

Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it 3 Ottobre 2013 Security Summit Verona $ whois -=mayhem=- Security Evangelist @ Members of: Associazione Informatici Professionisti,

Dettagli

CMDBuild. Open Source Configuration and Management Database. Technical Manual

CMDBuild. Open Source Configuration and Management Database. Technical Manual CMDBuild Open Source Configuration and Management Database Technical Manual Versione 0.4.0 Maggio 2006 No part of this document may be reproduced, in whole or in part, without the express written permission

Dettagli