La sicurezza delle applicazioni
|
|
- Fabio Berardi
- 2 anni fa
- Visualizzazioni
Transcript
1 La sicurezza delle applicazioni -dal modello tradizionale al cloud- Simone Riccetti, IT Security Architect IBM Italy 2009 IBM Corporation
2
3 Vulnerabilità riportate dai vendor Rispetto all H c è stato un incremento delle vulnerabilità del 36%. Le vulnerabilità più critiche scoperte in H sono sfruttabili da remoto. Diverse vulnerabilità critiche sono state pubblicate prima della disponibilità di patch.
4 Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento di connettività. SOA/Web Services Applicazioni legacy non progettate per essere in rete, sono visibili come servizi. Sistemi Legacy Non sempre supportano le moderne funzionalità di sicurezza (es. Autenticazione) Estensibilità: Il software è sempre più estensibile, es browser plug-in, dynamic loadable device driver L estensibilità dei software rende difficile prevederne la superficie di attacco nel tempo Complessità: La complessità delle architetture software è sempre maggiore Nel 1990, Windows 3.1 aveva 2,500,000 linee di codice. Windows XP ha circa 40,000,000 linee di codice. Il numero di bugs è proporzionale al numero di linee di codice
5
6 Secure Engineering Una serie di concetti, principi e best practice con l obiettivo di integrare la sicurezza nel software progettato. Riguarda tutte le fasi del ciclo di sviluppo del software Security by Design Security by Implementation Security by Deployment Secure Engineering non riguarda solo la fase di implementazione, ma è un approccio end-to-end
7 Quanto costa correggere una vulnerabilità? 80% dei costi di sviluppo sono spesi per identificare e correggere gli errori National Institute of Standards & Technology Quando il prodotto è stato rilasciato Durante la fase di coding $25/difetto Durante la fase di build $100/difetto Durante la fase di test $450/difetto $16,000/difetto + Perdita della fiducia del cliente, danni di immagine, etc. Caper Jones, Applied Software Measurement, 1996 * Source: 2008 GBS Industry standard study. Defect cost derived in assuming it takes 8 hrs to find, fix and repair a defect when found in code and unit test. Defect FFR cost for other phases calculated by using the multiplier on a blended rate of $80/hr.
8 Security Engineering & Software Development Life Cycle Strategia di sicurezza e metriche Definizione dei requisiti Design Implementazione Test Deploy Requisiti di sicurezza Principi di secure design Secure coding Risk analysis Vulnerability management Secure deployment Operational enablement Abuse cases Risk analysis Revisione del codice Security testing Security testing Security education
9
10 Le macro categorie di requisiti di sicurezza Auditing & logging Authentication & authorization Session management Input validation & output encoding Exception management Cryptography & integrity Data at rest Data in motion Configuration management
11 Use Cases e Misuse Cases Oltre agli Use Case, che definiscono gli aspetti funzionali dell applicazione, è necessario identificare i possibili scenari di attacco o Misuse Cases. E importante avere la prospettiva dell attacker Rer:
12
13 Secure Design..circa il 50% dei problemi di sicurezza sono dovuti ad errori architetturali
14
15 Secure Coding Quali sono le principali cause di vulnerabilità del codice? 1. Requisiti di sicurezza non definiti o poco chiari 2. Implementazione errata di requisiti corretti 3. Nella fase di deployment e configurazione non rispecchia i requisiti e le modalità operative previste Focus sul problema #2
16 The 2010 CWE/SANS Top 25 Most Dangerous Software Errors Codice CWE CWE-79 CWE-89 CWE-120 CWE-352 CWE-285 CWE-807 CWE-22 CWE-434 CWE-78 CWE-311 CWE-798 CWE-805 Descrizione Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Cross-Site Request Forgery (CSRF) Improper Access Control (Authorization) Reliance on Untrusted Inputs in a Security Decision Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Unrestricted Upload of File with Dangerous Type Improper Neutralization of Special Elements used in an OS Command Missing Encryption of Sensitive Data Use of Hard-coded Credentials Buffer Access with Incorrect Length Value
17 The 2010 CWE/SANS Top 25 Most Dangerous Software Errors Codice CWE CWE-98 CWE-129 CWE-754 CWE-209 CWE-190 CWE-131 CWE-306 CWE-494 CWE-732 CWE-770 CWE-601 CWE-327 CWE-362 Descrizione Improper Control of Filename for Include/Require Statement in PHP Program Improper Validation of Array Index Improper Check for Unusual or Exceptional Conditions Information Exposure Through an Error Message Integer Overflow or Wraparound Incorrect Calculation of Buffer Size Missing Authentication for Critical Function Download of Code Without Integrity Check Incorrect Permission Assignment for Critical Resource Allocation of Resources Without Limits or Throttling URL Redirection to Untrusted Site ('Open Redirect') Use of a Broken or Risky Cryptographic Algorithm Race Condition
18
19 Es. Taint String //... String username = request.getparameter("username"); String password = request.getparameter("password"); //... String query = "SELECT * from tusers where " + "userid='" + username + "' " + "AND password='" + password + "'"; //... ResultSet rs = stmt.executequery(query);
20 Es. Concorrenza. public class Main extends HttpServlet{ int accessi = 0; public void doget(httpservletrequest in, HttpServletResponse out) throws ServletException, IOException { out.setcontenttype("text/plain"); PrintWriter p = out.getwriter(); } } accessi++; try { Thread.sleep(1000); } catch (InterruptedException e) { e.printstacktrace(); } p.println( accessi + Request effettuate ");
21 Combinazione dei test di sicurezza Static Analysis Null pointer dereference Threading issues Code quality issues Issues in dead code Insecure crypto functions Issues in back-end application code Stored vulnerabilities Complex SQL injection Vulnerabilità Hybrid Analysis* Client-side issues DOM-based XSS DOM-based Open Redirect HTML5 Notification Phishing HTML5 Client-side SQL Injection Etc. Dynamic Analysis Environment configuration issues Patch level issues Runtime privileges issues Authentication issues Protocol parser/serializer issues Session management issues Issues in external 3rd party web components Cross-site request forgery Malware analysis Dynamic & Static SQL Injection Cross Site Scripting HTTP Response Splitting OS Commanding LDAP Injection XPath Injection Path Traversal Buffer Overflows Format String Issues 21
22 IBM Rational AppScan Ecosystem AppScan Enterprise / Reporting Console / Source Ed Core AppScan Source Ed for Developer / Remediation AppScan Ent. QuickScan (web client) AppScan Source Ed for Automation (scanning agent) (QA clients) AppScan Tester Ed AppScan Enterprise user (web client) AppScan Standard Ed (desktop) Rational Application Developer Rational Software Analyzer Rational ClearCase Rational Build Forge Rational Quality Manager AppScan Source Ed for Security Rational ClearQuest / Issue Management CODE Build security testing into the IDE* BUILD Automate Security / Compliance testing in the Build Process QA Security / compliance testing incorporated into testing & remediation workflows SECURITY Security & Compliance Testing, oversight, control, policy, audits IBM Rational Web Based Training for AppScan
23 Non solo i tool Security Architecture Security Implentation Code review (manuale) Vulnerabilità
24 Servizi Cloud per lo sviluppo e test
25 IBM Cloud Application Development & Test Deployment rapido di nuovi progetti Attività di transizione Demo Training POC Migration of technology Multi-site, outsourced development & test Accesso multi-sites; remote locations, etc. Team eterogeneo / contractor resources 1 Provision RTC Rational Team Concert Collaborative Development Process Facilitation Source Control Defect Management Rational Requirements Composer Dev Lead Developm ent Developme Developers Lead nt Lead 3 Developers work with RTC using web or rich client interface RTC 2 Customize preinstalled templates
26 Cosa cambia con i servizi tipo Cloud? In generale, la qualità del processo si riflette sulla qualità del prodotto, e questo vale anche per il Secure Engineering Il processo di Secure Engineering deve tener conto di diversi fattori: Skill di sicurezza Tecnologie di analisi disponibili Tipo di applicazioni sviluppate Processo di Sviluppo Tecnologie di comunicazione? Processo di Sviluppo Tecnologie di comunicazione Tipo di applicazioni sviluppate Skill di sicurezza Tecnologie di analisi disponibili Modello Tradizionale Modello cloud
27
Simone Riccetti. Applicazioni web:security by design
Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento
La sicurezza delle applicazioni
La sicurezza delle applicazioni -dal modello tradizionale al cloud- Simone Riccetti, IT Security Architect IBM Italy 2009 IBM Corporation Agenda Perchè la sicurezza delle applicazioni? Approcci al Secure
Aspetti di sicurezza per l innovazione nel Web
Aspetti di sicurezza per l innovazione nel Web Attacchi tipo Drive-by Downloads e x-morphic Simone Riccetti IBM Security Services Sr. IT Security Architect Agenda Web 2.0: Evoluzione delle minacce Attacchi
Domenico Ercolani Come gestire la sicurezza delle applicazioni web
Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow
Introduzione alla sicurezza nel Web
Introduzione alla sicurezza nel Web Simone Riccetti, IBM ISS Sr. IT Security Architect simone.riccetti@it.ibm.com Agenda Analisi del Problema Security Landscape Vulnerabilità e Minacce Metodologie e Architetture
Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web
Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web Agenda Concetti generali di sicurezza applicativa Rational AppScan Standard / Enterprise Edition Source Edition > Black-Box
Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza
Massimo Caprinali Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza 2009 IBM CIO Survey: Risk Management e Compliance sono considerati fra gli elementi piu importanti del
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,
Application Security Governance
Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza
The approach to the application security in the cloud space
Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance
Introduzione all OWASP- Day II
Introduzione all OWASP- Day II Matteo Meucci OWASP-Day Università La Sapienza Rome 31 st March, 2008 OWASP-Italy Chair CEO Minded Security matteo.meucci@owasp.org Copyright 2007 - The OWASP Foundation
Indice register_globals escaping
1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross
Come valutare la maturità del proprio modello di sviluppo del software
Come valutare la maturità del proprio modello di sviluppo del software Matteo Meucci Chair OWASP Day per la PA Roma 9, Novembre 2010 Copyright 2010 - The OWASP Foundation Permission is granted to copy,
Early Warning. Bollettino VA-IT-130911-01.A
Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
Security policy e Risk Management: la tecnologia BindView
NETWORK SECURITY COMPANY Security policy e Risk Management: la tecnologia BindView www.bindview.com Luca Ronchini lr@symbolic.it Security policy e Risk Management : vulnerabilty management e security assessment,
Bollettino VA-IT-131112-01.B
Early W a r ning Bollettino VA-IT-131112-01.B Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131112-01.B Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting
Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza
Secure Code Review: dalla teoria alla pratica
Secure Code Review: dalla teoria alla pratica Antonio Parata http://www.emaze.net Antonio.parata@emaze.net OWASP-Day III Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi
Dallo sviluppo all'esercizio: application lifecycle management a 360
Dallo sviluppo all'esercizio: application lifecycle management a 360 Laura Venturini IBM Rational software email: laura_venturini@it.ibm.com Umberto Fogagnolo IBM Tivoli software email: umberto_fogagnolo@it.ibm.com
Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013
Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale
Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011
IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza
OWASP e gli standard per la sicurezza applicativa
OWASP e gli standard per la sicurezza applicativa Matteo Meucci OWASP-Italy Chair OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation Permission is granted to copy, distribute
Le linee guida OWASP per la sicurezza applicativa
Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission
Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)
UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL
KLEIS WEB APPLICATION FIREWALL
KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application
Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool
Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool Matteo Meucci Paolo Perego Security Summit 2011 Giorgio Fedon Milan 15th March, 2011 Copyright 2011- The OWASP Foundation Permission
Perché e cosa significa una strategia mobile?
Perché e cosa significa una strategia mobile? Ezio Viola Co-Founder & Direttore Generale The Innovation Group Due immagini simbolo/1 2 Due immagini simbolo /2 3 Mercato pc/device mobili e apps, mobile
Architetture Web: un ripasso
Architetture Web: un ripasso Pubblicazione dinamica di contenuti. Come si fa? CGI Java Servlet Server-side scripting e librerie di tag JSP Tag eseguiti lato server Revisione critica di HTTP HTTP non prevede
Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager
Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze
KEN VAN WYK. Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software
LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software ROMA 2-6 OTTOBRE 2006 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 info@technologytransfer.it
Security Summit 2010
Security Summit 2010 Frodi: Realizzare il Perimetro Virtuale Sicuro Paolo Zanotti, Business-e Spa Lo scenario lavorativo mobile e globale genera nuovi requisiti nella gestione del
DigitPA - P@norama sulle tecnologie innovative
DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La
Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna
Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario
Bollettino VA-IT-140901-01.A
Early W a r ning Bollettino VA-IT-140901-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140901-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI
IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
Pieces of Technology at your service. dottesttm
Pieces of Technology at your service dottesttm DOTNET - AUTOMATIZZAZIONE DELL ANALISI STATICA, CODE REVIEW, TEST UNIT dottest è una soluzione di test di sviluppo integrato per automatizzare una vasta gamma
Attacchi alle Applicazioni Web
Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security
Tomcat & Servlet. Contenuti. Programmazione in Ambienti Distribuiti. Tomcat Applicazioni Web. Servlet JSP Uso delle sessioni
Tomcat & Servlet Programmazione in Ambienti Distribuiti V 1.2 Marco Torchiano 2005 Contenuti Tomcat Applicazioni Web Struttura Sviluppo Deployment Servlet JSP Uso delle sessioni 1 Tomcat Tomcat è un contenitore
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto
Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software
Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele Qualità del Software Quality Assurance per tutte le esigenze Web Site Testing Mobile Application
IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM
Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel
Bollettino VA-IT-140313-01.A
Early W a r ning Bollettino VA-IT-140313-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140313-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI
Progetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation http://www.owasp.org
Progetti Open Source Per La Sicurezza Delle Web Applications Marco Morana Mercoledi 5 Novembre 2008 Giornata Della Sicurezza Informatica In Sardegna Copyright 2008 - The Foundation Permission is granted
JDBC versione base. Le classi/interfacce principali di JDBC
JDBC versione base Java Database Connectivity è il package Java per l accesso a database relazionali il package contiene interfacce e classi astratte uno dei pregi è la completa indipendenza del codice
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation
Modalità di Attacco e Tecniche di Difesa
Modalità di Attacco e Tecniche di Difesa Domenico Raguseo, IBM Europe Technical Sales Manager, Security Systems Phishing... Tecniche di difesa Phishing o Fishing? Non dimenticare le buone pratiche Attenzione
ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager
ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &
N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.
ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto
Fabrizio Patriarca Soluzioni Tivoli di Identity e Access Management
Fabrizio Patriarca Soluzioni Tivoli di Identity e Access Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni TIVOLI Tivoli
Bollettino VA-IT-150129-01.A
Early W a r ning Bollettino VA-IT-150129-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-150129-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
Navigazione automatica e rilevazione di errori in applicazioni web
Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare
MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS
MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS UN BUON MOTIVO PER [cod. E103] Questo corso combina i contenuti di tre corsi: Network Infrastructure Technology Specialist, Active
La gestione della sicurezza applicativa nelle aziende italiane
La gestione della sicurezza applicativa nelle aziende italiane Matteo Meucci, CISSP, CISA Chair CEO @ Minded Security Security Summit 20 Marzo 2012, Milano Copyright 2007 - The OWASP Foundation Permission
Dott. Marcello Pistilli Business Development Manager. del software alla produzione:
Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO
Internet Banking e Web Security
Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -
Early Warning Bollettino VA-IT-131028-01.B
Early Warning Bollettino VA-IT-131028-01.B Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131028-01.B Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
Tecnologia e Applicazioni Internet 2011/12
Tecnologia e Applicazioni Internet 2011/12 Lezione 4 - Persistenza Matteo Vaccari http://matteo.vaccari.name/ matteo.vaccari@uninsubria.it Perché usare un DB relazionale? Per l accesso concorrente ai dati
Sicurezza delle applicazioni web: attacchi web
Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio
Dynamic Threat Protection
Dynamic Threat Protection Stefano Volpi Internet Security Systems 25 gennaio 2003, il worm SQL Slammer ha colpito centinaia di milioni di servers in meno di 12 ore. Ha fatto interrompere il network ATM,
JDBC di base. Le classi/interfacce principali di JDBC
JDBC di base Java Database Connectivity è il package Java per l accesso a database relazionali il package contiene interfacce e classi astratte completa indipendenza del codice dal tipo di database o di
Corso: Configuring Managing and Maintaining Windows Server 2008-based Servers Codice PCSNET: MWS1-5 Cod. Vendor: 6419 Durata: 5
Corso: Configuring Managing and Maintaining Windows Server 2008-based Servers Codice PCSNET: MWS1-5 Cod. Vendor: 6419 Durata: 5 Obiettivi Questo corso combina i contenuti di tre corsi: Network Infrastructure
Bollettino VA-IT-140703-01.A
Early W a r ning Bollettino VA-IT-140703-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140703-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
IBM Rational Team Concert
IBM Software Group IBM Rational Team Concert 2008 IBM Corporation Rational Team Concert: Descrizione di alto livello ƒ Rational Team Concert (RTC) è un componente innovativo della IBM Rational Software
DIVISIONE DATA & NETWORK SECURITY
DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it
La ISA nasce nel 1994. Servizi DIGITAL SOLUTION
ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi
Quando si sa chiaramente come si deve comportare l applicazione si può analizzare una possibile soluzione applicativa.
Introduzione alla tecnologia JMX 1 Viene analizzata l architettura sottostante le Java Managment Extensions (JMX) mostrandone un utilizzo applicativo e analizzando altri possibili scenari d uso di Ivan
Accesso Web a Data Base
Università degli Studi di Modena e Reggio Emilia Facoltà di Ingegneria Reggio Emilia CORSO DI TECNOLOGIE E APPLICAZIONI WEB Accesso Web a Data Base Ing. Marco Mamei Anno Accademico 2004-2005 M. Mamei -
4th International Conference in Software Engineering for Defence Applications SEDA 2015
me Ho CALL FOR PAPERS: 4th International Conference in Software Engineering for Defence Applications SEDA 2015 Software Engineering aims at modeling, managing and implementing software development products
KLEIS A.I. SECURITY SUITE
KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione
Sicurezza delle applicazioni web: attacchi web
Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori
La ISA nasce nel 1994 DIGITAL SOLUTION
La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego
CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it )
CEPIS e-cb Italy Report Roberto Bellini (da leggere su www.01net.it ) Free online selfassessment tool Online services Enables the identification of competences needed for various ICT roles e-cf Competences
1 Gestione dell utente connesso in sessione con Java Server Pages, Java Beans, Servlet
1 Gestione dell utente connesso in sessione con Java Server Pages, Java Beans, Servlet Controllo dell utente connesso al sito tramite JSP, Java Beans e Servlet. Ciò che ci proponiamo di fare è l accesso
Implementing Microsoft Azure Infrastructure Solutions (MOC 20533)
Implementing Microsoft Azure Infrastructure Solutions (MOC 20533) Durata Il corso dura 4,5 giorni. Scopo Il corso è dedicato a professionisti IT con esperienza che amministrano la loro infrastruttura on-premise.
Modello di sicurezza Datocentrico
Modello di sicurezza Datocentrico I dati sono ovunque Chi accede ai dati, a dove accede ai dati e a quali dati accede? Public Cloud Desktop Virtualization Private Cloud Server Virtualization Proteggere
Valorizzazione della professionalità di SW Quality Assurance
Valorizzazione della professionalità di SW Quality Assurance 17 Esther BEVERE Miriam MERENDA ALTEN Italia Agenda Rilevanza della Professionalità del Software Tester Professionalità nel Testing Percorsi
Early Warning. Bollettino VA-IT-130708-01.A
Early Warning Bollettino VA-IT-130708-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130708-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
Vulnerabilità in Apache Tomcat
Vulnerabilità in Apache Tomcat L evoluzione della specie il mondo della sicurezza è una giungla! SMAU 2008 Di cosa parliamo oggi... Quali sono le principali vulnerabilità scoperte in Apache Tomcat Come
Applicazioni web. Sommario. Parte 6 Servlet Java. Applicazioni web - Servlet. Alberto Ferrari 1. Servlet Introduzione alle API ed esempi
Applicazioni web Parte 6 Java Alberto Ferrari 1 Sommario Introduzione alle API ed esempi Tomcat Server per applicazioni web Alberto Ferrari 2 Alberto Ferrari 1 Java: da applet a servlet In origine Java
Identity Access Management nel web 2.0
Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse
Riccardo Sponza Technical Evangelism Manager Microsoft Italia
Riccardo Sponza Technical Evangelism Manager Microsoft Italia SOA/EDA Composite Apps Software + Services Esercizio EAI Integrazione Punto-a-Punto Web services Consolidamento dell Infrastruttira Razionalizzazione
La gestione della sicurezza applicativa nelle aziende italiane
La gestione della sicurezza applicativa nelle aziende italiane (Matteo Meucci CISA CISSP OWASP-Italy Minded Security ) 17 Aprile 2012 Pag. 1 INDICE DELLA PRESENTAZIONE : Introduzione alla sicurezza del
Alessio Banich. Manager, Technical Solutions
Alessio Banich Manager, Technical Solutions I punti di forza di BlackBerry sono sempre più importanti al crescere dei processi aziendali in mobilità OS SUPPORTATI BES12 EMM GESTIONE FACILE E SICURA DELLA
Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
Rational Unified Process Introduzione
Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un
LBSEC. http://www.liveboxcloud.com
2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità
Qlik Services. Roma 10 Giugno, 2015
Qlik Services Roma 10 Giugno, 2015 By 2015, the shifting tide of BI platform requirements, moving from reporting-centric to analysis-centric, will mean the majority of BI vendors will make governed data
Attacchi Web. Davide Marrone
Davide Marrone davide@security.dico.unimi.it Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione 22 gennaio 2007 Sommario Classificazione
PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice
PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice OUR PHILOSOPHY PIRELLI ENTERPRISE RISK MANAGEMENT POLICY ERM MISSION manage risks in terms of prevention and mitigation proactively seize the
MOC10324 Implementing and Managing Microsoft Desktop Virtualization
Tel. +39 02 365738 info@overneteducation.it www.overneteducation.it MOC10324 Implementing and Managing Microsoft Desktop Virtualization Durata: 4.5 gg Descrizione Questo corso fornisce le competenze e
La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006
La Sicurezza e i benefici per il business Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 Lo scenario di riferimento Gli attacchi diventano più sofisticati Le difese
Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.
Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security
Java Server Pages. Corso di Applicazioni Telematiche. A.A. 2006-07 Lezione n.18 Prof. Roberto Canonico
Java Server Pages Corso di Applicazioni Telematiche A.A. 2006-07 Lezione n.18 Prof. Roberto Canonico Università degli Studi di Napoli Federico II Facoltà di Ingegneria Java Server Pages (JSP) Java Server
JDBC: Introduzione. Java Database Connectivity (JDBC): parte 1. Schema dei legami tra le classi principali. Principali classi/interfacce di JDBC
JDBC: Introduzione Java Database Connectivity (JDBC): parte 1 Gianluca Moro DEIS - Università di Bologna gmoro@deis.unibo.it Java Database Connectivity è il package Java per l accesso a database relazionali
Come gestire al meglio la sicurezza e la compliance delle applicazioni Web
IBM Software Group Come gestire al meglio la sicurezza e la compliance delle applicazioni Web Paolo Cravino paolo_cravino@it.ibm.com Senior IT Specialist Solution Leader 2008 IBM Corporation Agenda Concetti
TeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
L importanza di ITIL V3
6HUYLFH'HOLYHU\DQG3URFHVV$XWRPDWLRQ L importanza di ITIL V3 IBM - IT Strategy & Architecture Claudio Valant Le Migliori Prassi (Best Practice) ITIL ƒ ƒ ƒ ƒ,7,/ VWDSHU,QIRUPDWLRQ7HFKQRORJ\,QIUDVWUXFWXUH
KASPERSKY SECURITY INTELLIGENCE SERVICES
KASPERSKY SECURITY INTELLIGENCE SERVICES Fabio Sammartino Pre-Sales Manager Kaspersky Lab Italia KASPERSKY LAB MAJOR DISCOVERIES Duqu Flame Gauss miniflame Red October NetTraveler Careto/The Mask 3 MALWARE
IT Service e Asset Management
IT Service e Asset Management la soluzione Guella Barbara Tivoli Technical Sales 2007 IBM Corporation IBM ISM & Maximo Una soluzione unica per l esecuzione dei processi Incident & Problem Mgmt Knowledge
Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database
Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti