Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011"

Transcript

1 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza nel Web 2.0 Conclusioni Domande e Risposte 1

2 OWASP I Open Web Application Security Project (OWASP) è dedicato alla creazione e alla diffusione di informazioni relative alla sicurezza delle applicazioni web Il progetto è animato da un gruppo di professionisti del settore ed è attualmente impegnato su diverse linee definizione dei criteri di progettazione analisi del software code review (OWASP Testing Guide) creazione di tool per il vulnerability assessment OWASP Principale linea guida fornita dell OWASP: tutti gli input ricevuti da una applicazione devono essere validati LATO SERVER HTTP request, header, cookie, file batch Fissandosi come obiettivo il rilascio in produzione di applicazioni SICURE, OWASP descrive in modo dettagliato le tipologie di attacco eseguibili contro un applicativo, fornendo indicazioni importanti sulle modalità di auditing L obiettivo di OWASP è quello di sensibilizzare il mondo dell IT (e non solo) sulle conseguenze che queste vulnerabilità possono avere sul proprio Business, sulla propria ed altrui Privacy 2

3 OWASP How to build, design and test the security of web applications and web services ogni sviluppatore, e non solo, dovrebbe analizzare il sito OWASP, ma soprattutto applicarne i consigli OWASP TOP 10 Risks 2007 I. Cross Site Scripting (XSS) II. Injection Flaws III. Malicious File Execution IV. Insecure Direct Object Reference V. Cross Site Request Forgery (CSRF) VI. Information Leaking & Error Handling VII. Broken Authentication & Session Mgmt VIII. Insecure Cryptographic Storage IX. Insecure Communications X. Failure to Restrict URL Access TOP 10 Risks 2010 I. Injection Flaws II. Cross Site Scripting (XSS) III. Broken Authentication & Session Mgmt IV. Insecure Direct Object Reference V. Cross Site Request Forgery (CSRF) VI. Security Misconfiguration VII. Insecure Cryptographic Storage VIII. Failure to Restrict URL Access IX. Insufficient Transport Layer Protection X. Unvalidate Redirects and Forwards 3

4 OWASP OWASP Cosa è stato rimosso? Unvalidated Input Buffer Overflows Denial of Service Insecure Configuration Management Cosa è stato aggiunto? Cross Site Attacks (CSRF) Malicious File Execution Insecure Communications Information Leakage Cosa è stato rimosso? Malicious File Execution Information Leakage (stack trace) Cosa è stato aggiunto? Security Misconfiguration Unvalidated Redirects and Forwards 4

5 I Injection Flaws E relativo all invio, da parte di un attaccante, di dati in input (comandi o query) passati dall applicazione web all interprete senza essere validati Vi sono molti tipi di Injection Flaws: SQL Injection (la più comune) LDAP Injection XPath XSLT XML HTML OS Command Injection Questo attacco permette di creare, leggere, modificare, cancellare qualsiasi informazione associata all applicazione. Un attaccante ha l opportunità di compromettere completamente l applicazione e il S.O. sottostante, riuscendo a bypassare eventuali firewall I Injection Flaws Esempio (SQL Injection): Sito web con accesso controllato da username e password controllate su database: SELECT * FROM users WHERE id= $1 AND pwd= $2 Hacker: admin or 1=1 -- SELECT * FROM users WHERE id= admin AND pwd= OR 1=1 -- Soluzione: Filtrare gli input ricevuti dall applicazione Effettuare una completa code review del codice sorgente 5

6 I Injection Flaws Un Injection Flaw può essere facilmente individuato esaminando il codice, mentre è più difficile tramite il testing SCANNERS FUZZERS I Injection Flaws Tools che aiutano chi difende, per analizzare la propria applicazione.. Ma anche chi attacca!!! SCANNERS FUZZERS Analizzano in modo automatico i parametri di un applicazione, testando la robustezza contro attacchi di SQL Injection, Buffer Overflow, Format String, Command Execution, Directory Traversal etc WebScarab Spike Proxy Burp Suite 6

7 II - Cross Site Scripting XSS (MAGGIOR DIFETTO ) Si verifica quando un applicazione riceve dati forniti in input dall utente, e li elabora senza effettuare la validazione o l encoding del contenuto (escaping) Quando l applicazione restituisce i dati al client, il Browser che interpreta tali dati non verificati, si trova ad eseguire attività malevole Hijaking della sessione utente Esecuzione Malware Attacchi di Phishing Esecuzione di Script sul Browser (in genere JavaScript) Diversi tipi di XSS 1. Stored 2. Reflective II - Cross Site Scripting XSS Stored Ha successo quando un client Web invia dei dati che sono immediatamente immagazzinati dall applicazione web (DB, FS etc.) e tali informazioni sono poi successivamente inviate ad altri utenti in una pagina web fornita dalla stessa applicazione, senza opportuna codifica delle entità HTML Lo script è inserito in un form e salvato as-is dall application server nel database, e poi presentato as-is alle vittime Reflective Ha successo quando un client Web fornisce dei dati che sono immediatamente utilizzati da script sul server per generare le informazioni richieste, e sono poi restituiti al browser senza un opportuno HTML encoding Lo script è camuffato all interno di un URL, e inviato via mail alla vittima (o alle vittime) 7

8 II - Cross Site Scripting XSS Chi attacca può impadronirsi della sessione, eseguire il defacing del sito, inserire contenuti ostili, reindirizzare l utente ma è oggettivamente difficile eseguire attacchi devastanti solo utilizzando XSS Soluzione: Filtrare gli input forniti dagli utenti per eliminare tag HTML e script Quando l applicazione restituisce i dati al Client, occorre essere certi che il Browser li interpreterà come testo, e non come «contenuto attivo». Servono verifiche manuali II - Cross Site Scripting XSS Esempio (Stored XSS): Forum in cui gli utenti possono inserire commenti sugli articoli pubblicati Un hacker inserisce un commento con un opportuno javascript votehillary.org 8

9 III Broken Authentication & Session Management Queste due vulnerabilità sono riconducibili ad un errata implementazione della gestione delle credenziali di accesso e/o delle chiavi di sessioni che rendono possibili accessi non autorizzati all applicazione, tramite «impersonificazione» di altre identità vittime Hijacking di Utenze o Account Amministrativi Vulnerabilità dovute ad errori nell implementazioni delle procedure: Logout Gestione Password Remember me Time-Out Aggiornamento Account Gli sviluppatori spesso realizzano approcci personalizzati di gestione della sessione e dell autenticazione a volte è difficile rilevare questa vulnerabilità, ma se sfruttata ha conseguenze molto negative in genere chi testa ha a disposizione una user «base», e tenta una escalation dei privilegi 9

10 III Broken Authentication & Session Management Esempio: Un sito web utilizza un session ID in chiaro e non randomico: Hacker: prova ad utilizzare procedure a cui solitamente non ha accesso: Soluzioni: Utilizzare tecniche adeguate per la gestione della sessione Non utilizzare funzioni come il remember me Imporre il time-out automatico sulle sessioni IV Insecure Direct Object Reference Tale vulnerabilità si presenta quando nell applicazione sono presenti elementi liberamente manipolabili (file, directory, record database, key, parametri URL/Form) in grado di permettere di risalire ad ulteriori informazioni tali da portare ad una escalation dei privilegi o all acquisizione di dati critici!!! Qualsiasi Web Application Framework può essere vulnerabile!!! E molto importante, durante la scrittura del codice applicativo, evitare che l applicazione permetta ad un malintenzionato di manipolare i riferimenti diretti agli oggetti 10

11 IV Insecure Direct Object Reference Chi attacca, cambia il valore di un parametro, che fa riferimento ad un oggetto, accedendo ad un altro oggetto senza che l utente abbia l autorizzazione necessaria E opportuno che il name space sia offuscato (nomi e chiavi arbitrari o randomici)!!! IV Insecure Direct Object Reference Esempio: Sito web che permette di selezionare la lingua Il codice applicativo è del tipo: <select name="lang"><option value="it">italy-italian</option> require_once ($_REQUEST['lang']."lang.php"); Hacker: cambia il parametro della lingua inserendo: require_once ($_REQUEST['../../../../etc/passwd%00']. "lang.php"); Soluzione: Permettere gli accessi agli oggetti in modo controllato Effettuare una completa code review del codice sorgente 11

12 V Cross Site Request Forgery Un attacco di questo tipo ha lo scopo di forzare il browser di una vittima ad eseguire operazioni da lui non espressamente richieste, sfruttando una vulnerabilità applicativa come una non corretta implementazione delle sessioni ed un passaggio dei parametri e dei rispettivi valori di una richiesta attraverso l uso del metodo GET E un attacco semplice ma devastante La vulnerabilità è efficace, in quanto oggi la maggior parte delle applicazioni web si basa su una gestione delle credenziali attraverso cookie di sessione, basic authentication, indirizzo IP sorgente, certificati SSL, credenziali di dominio Windows V Cross Site Request Forgery L attaccante crea richieste HTTP malevoli, ingannando la vittima attraverso immagini, tag, XSS o numerose altre tecniche Occorre verificare che tutti i link/form contengano un token (possibilmente unico per ogni sessione utente o per ogni richiesta, nel Body) non prevedibile, per ogni utente. Senza questo l hacker/cracker può generare richieste malevoli 12

13 V Cross Site Request Forgery Esempio : Sito web bancario, URL per effettuare un bonifico: Hacker: invia una mail con un link contraffatto ad un cliente della banca: Soluzione: Inserire un token nascosto con valore casuale nei form Non accettare GET ma solo POST In caso di ri-autenticazione visualizzare una pagina di default V Cross Site Request Forgery Da OWASP 13

14 VI Security Misconfiguration Ad oggi è ancora la vulnerabilità più rilevante e presente sui sistemi IT in generale Esempi Applicazioni e sistemi non hardenizzati (dal disclosure alla mancanza di patch) Presenza delle configurazioni di default (install, next, next, next, finish) Errata gestione degli errori applicativi e di sistema Accesso alle interfacce amministrative non protetto (e con pwd di default) why? pcché? VI Security Misconfiguration Si possono rilevare ad ogni «livello» dell applicazione.. piattaforma, web server, application server, framework, codice personalizzato Sviluppatori e amministratori di rete devono lavorare insieme per mitigare i rischi 14

15 VI Security Misconfiguration Esempio: Soluzione: Effettuare un audit dettagliato dell applicazione e dei sistemi (credenziali di default, porte/servizi, patch, gestione errori ) VII Insecure Cryptographic Storage Si tratta di una vulnerabilità causata dalla non corretta conservazione dei dati e dall errata implementazione delle funzioni applicative create con lo scopo di proteggere i dati sensibili Problemi legati a: Utilizzo errato algoritmi di crittatura Utilizzo metodi di crittatura deboli Portano a: Disclosure di informazioni Compliance Violations 15

16 VII Insecure Cryptographic Storage IMPO: occorre SEMPRE cifrare dati sanitari, dati di carte di credito, password ed informazioni personali ma soprattutto: Cifrate ovunque!!! (es. anche nelle copie di backup) Funzioni di decifratura (es. query SQL), se necessarie, solo nel Back-End Solo user autorizzati devono poter accedere ai dati in chiaro Usare un algoritmo standard e ROBUSTO (no fai da te ) Usare chiavi di cifratura robuste e i salt / iv VII Insecure Cryptographic Storage Esempio (brute force password attack): l \ n 26 (minuscole) 36 (minuscole alfanumeriche) 62 (miste alfanumeriche) 95 (tutti i caratteri) 5 0,67 ore 3,4 ore 51 ore 430 ore 6 17 ore 120 ore 130 giorni 4,7 anni 7 19 ore 180 giorni 22 anni 440 anni 8 1,3 anni 18 anni anni anni 9 34 anni 640 anni anni anni anni anni anni anni 16

17 VIII Failure to Restrict URL Access Questa vulnerabilità si manifesta quando si utilizza, come metodo di protezione, la tecnica Security through Obscurity per proteggere aree di un applicazione web che non dovrebbero essere accessibili ad utenze non autorizzate Attacco di Force Browsing utilizza tecniche di brute force per trovare pagine nascoste Esempi: URL nascosti o speciali (/admin/adduser.php, /config/db.inc) Accesso a file nascosti (XML statici, report, documenti pdf) Sistemi di autenticazione deboli (flash, java applet) VIII Failure to Restrict URL Access È semplice identificare queste vulnerabilità, ma è difficile identificare le pagine(url) esistenti da attaccare i principali bersagli sono le pagine di amministrazione E importante catalogare ogni pagina della propria Applicazione, decidendo per ognuna se deve essere considerata pubblica o privata 17

18 VIII Failure to Restrict URL Access Esempio: Soluzione: Effettuare un audit dettagliato dell applicazione IX Insufficient Transport Layer Protection Questa vulnerabilità consente ad un hacker di intercettare informazioni quali credenziali di accesso e informazioni riservate che transitano su canali non cifrati Gli attacchi di solito sfruttano SNIFFERS e sono perpetrabili su ogni rete, anche switched Nel caso in cui la comunicazione non sia cifrata correttamente, il classico attacco man-in-the-middle (MTM) (in cui il traffico di rete viene dirottato da un hacker) ottiene il massimo dei risultati possibili 18

19 IX Insufficient Transport Layer Protection Spesso le applicazioni non proteggono correttamente il traffico di rete, utilizzando SSL/TLS solo durante la fase di autenticazione, utilizzando certificati scaduti o non configurati correttamente IX Insufficient Transport Layer Protection Esempio: Soluzioni: Utilizzare comunicazioni cifrate anche per le applicazioni interne Effettuare audit di sicurezza sui protocolli applicativi e di rete Non utilizzare algoritmi di cifratura fai-da-te, ma solo algoritmi ROBUSTI 19

20 X Unvalidated Redirects and Forwards Questa vulnerabilità consente ad un hacker di accedere a componenti applicative o dati per le quali non è autorizzato oppure di forzare una vittima ad accedere ad un URL non previsto Le applicazioni più vulnerabili sono quelle che utilizzano delle soluzioni faida-te oppure dei framework con errori di programmazione o non manutenuti nel tempo Esempi: Accesso non autorizzato a risorse applicative Attacchi al client verso terze parti Installazione Malware / Phishing X Unvalidated Redirects and Forwards L attaccante forza la vittima a cliccare su un link con un redirect non validato. Le applicazioni redirigono spesso gli utenti verso altre pagine o usano forward interni, e purtroppo a volte la pagina bersaglio è specificata in un parametro non validato lato server 20

21 X Unvalidated Redirects and Forwards Esempio: Navigando un comune sito web Soluzioni: Un Hacker fantasioso Invia una mail ad un vittima con un URL Oppure naviga direttamente facendo qualche piccola modifica Evitare di usare Redirect e Forward Non utilizzare parametri per costruire l URL di destinazione Effettuare audit di sicurezza sull applicazione web Sicurezza nel web 2.0 Web 2.0 è un nuovo termine coniato per descrivere una «nuova» generazione di applicazioni web che dovrebbero avere come elementi trainanti la dimensione sociale, la condivisione e l indipendenza dei dati dal produttore (blog, forum, chat, sistemi quali Wikipedia, Youtube, Facebook, Myspace, Twitter, Gmail, Wordpress) La tecnologia utilizzata per implementare questa nuova versione del web è sempre la stessa: TCP, HTTP etc, cambia solo il modo di pensare le applicazioni ed i framework utilizzati per svilupparle (AJAX, Adobe Flex etc.) 21

22 Sicurezza nel web 2.0 Le vulnerabilità presenti nelle applicazioni web 2.0 sono le stesse presenti nelle applicazioni web versione 1.0 es: XSS, SQL Injection A cui si aggiungono nuovi vettori di attacco, dovuti principalmente all uso di framework con elevato livello di interattività client/server, realizzati mediante XML: XML Poisoning Malicious AJAX Code Execution WSDL Scanning and Enumeration Client Side Validation Attack Web Service Routing Attack SOAP Parameter Manipulation XPATH Injection in XML Messages Sicurezza nel web 2.0 WSDL Scanning and Enumeration Il WSDL (Web Services Definition Language) è un interfaccia per i web service. Questo file fornisce informazioni chiave sulla tecnologia utilizzata, sui metodi esposti e sulla modalità di invocazione Queste informazioni sono veramente importanti e possono fornire ad un hacker molti punti di attacco!!! Oggetti più comunemente attaccati: UDDI (Universal Description Discovery and Integration) DISCO (Web Service Discovery) DISCOMAP (file) WSDL (file) 22

23 Sicurezza nel web 2.0 WSDL Scanning and Enumeration Esempio: Soluzioni: Limitare l accesso alle informazioni sui web services Cifrare la comunicazione con i web services Effettuare audit appositi sulle applicazioni SOAP/WS based Sicurezza nel web 2.0 RSS/Atom Injection E un nuovo tipo di attacco molto sfruttato per colpire le applicazioni web 2.0 I feed RSS sono un metodo comune per condividere le informazioni tra portali ed applicazioni web Un attaccante può, per esempio, pubblicare in un feed un javascript che può eseguire azioni maligne (quella più comune è di rubare i cookie autorizzativi) Oggetti più comunemente usati come vettori di attacco: Javascript Applicazioni Flash Controlli ActiveX Applet Java 23

24 Sicurezza nel web 2.0 RSS/Atom Injection Esempio: Una applicazione web integra un feed RSS che arriva da un sito non sicuro: Hacker: pubblica nel feed un immagine particolare: src=" Soluzioni: Filtrare tutti gli input forniti alle applicazioni Integrare feed che provengono solo da siti web sicuri Effettuare audit appositi sulle applicazioni SOAP/WS based Conclusioni 1. La sicurezza applicativa è un campo in continua evoluzione, nuovi applicativi compaiono ogni giorno 2. Gli sviluppatori sono sempre più pressati per consegnare prodotti con un time-to-market sempre più ridotto 3. La complessità delle applicazioni aumenta con l uso di framework e componenti non sempre sviluppati pensando alla sicurezza La sicurezza applicativa NON è un prodotto, ma è un processo che necessita di: Addestramento per la scrittura di codice sicuro Auditing accurato delle Applicazioni Implementazione di un SDL (Secure Development Lifecycle) Competenze specifiche da aggiornare continuamente 24

25 Riferimenti Libri Web Application Hacker s Handbook Hacking Exposed Web 2.0 Developer s Guide to Web Application Security Riferimenti Web OWASP Web Application Security Consortium Google 25

26 Domande e risposte Riferimento: 26

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii Indice generale Introduzione...xiii Capitolo 1 La sicurezza nel mondo delle applicazioni web...1 La sicurezza delle informazioni in sintesi... 1 Primi approcci con le soluzioni formali... 2 Introduzione

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Siti interattivi e dinamici. in poche pagine

Siti interattivi e dinamici. in poche pagine Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata

Dettagli

Web Application (In)Security

Web Application (In)Security Web Application (In)Security Alessandro jekil Tanasi alessandro@tanasi.it http://www.tanasi.it LUG Trieste Introduzione.. Ciao Gianni, sai ci siamo fatti fare il sito nuovo, abbiamo speso solo 500 ϵ..no

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web

Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web. Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web. Quale è lo stato della sicurezza? Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Problemi di sicurezza nello sviluppo di applicazioni web

Problemi di sicurezza nello sviluppo di applicazioni web Problemi di sicurezza nello sviluppo di applicazioni web Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Quale è lo stato della sicurezza? milioni di euro e milioni

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

Flavio De Paoli depaoli@disco.unimib.it

Flavio De Paoli depaoli@disco.unimib.it Flavio De Paoli depaoli@disco.unimib.it 1 Il web come architettura di riferimento Architettura di una applicazione web Tecnologie lato server: Script (PHP, Pyton, Perl), Servlet/JSP, ASP Tecnologie lato

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Concetti base. Impianti Informatici. Web application

Concetti base. Impianti Informatici. Web application Concetti base Web application La diffusione del World Wide Web 2 Supporto ai ricercatori Organizzazione documentazione Condivisione informazioni Scambio di informazioni di qualsiasi natura Chat Forum Intranet

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

Navigazione Consapevole. Conoscere il lato oscuro di Internet

Navigazione Consapevole. Conoscere il lato oscuro di Internet Navigazione Consapevole Conoscere il lato oscuro di Internet Intro Browsing e ricerche Privacy e sicurezza (password sicure / chiavi elettroniche) Usare la posta elettronica Difendersi dalle minacce online

Dettagli

Corso di Informatica Modulo T3 B1 Programmazione web

Corso di Informatica Modulo T3 B1 Programmazione web Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo

Dettagli

Gli XML Web Service. Prof. Mauro Giacomini. Complementi di Informatica Medica 2008/2009 1

Gli XML Web Service. Prof. Mauro Giacomini. Complementi di Informatica Medica 2008/2009 1 Gli XML Web Service Prof. Mauro Giacomini Medica 2008/2009 1 Definizioni i i i Componente.NET che risponde a richieste HTTP formattate tramite la sintassi SOAP. Gestori HTTP che intercettano richieste

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Proteggi gli account personali

Proteggi gli account personali con la collaborazione di Proteggi gli account personali Pensi che il PHISHING sia solo un tipo di pesca? Pensi che i COOKIE siano solo biscotti? Pensi che un VIRUS sia solo un raffreddore? Proteggi gli

Dettagli

2009. STR S.p.A. u.s. Tutti i diritti riservati

2009. STR S.p.A. u.s. Tutti i diritti riservati 2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE

Dettagli

Vulnerabilità informatiche (semplici)..

Vulnerabilità informatiche (semplici).. Vulnerabilità informatiche (semplici).. in infrastrutture complesse....il contenuto di questo speech è di pura fantasia, ogni riferimento a infrastrutture reali o fatti realmente accaduti è puramente casuale

Dettagli

Internet Banking e Web Security

Internet Banking e Web Security Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -

Dettagli

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X

GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X GUIDA ALLA PRIMA INSTALLAZIONE DI LIDRASHOP v 1.6.X In questa guida saranno analizzati i semplici passaggi per la messa in opera del motore di e-commerce LIDRASHOP. Prima però ecco alcuni accorgimenti

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

Attacchi Web. Davide Marrone <davide@security.dico.unimi.it>

Attacchi Web. Davide Marrone <davide@security.dico.unimi.it> Davide Marrone davide@security.dico.unimi.it Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica e Comunicazione 22 gennaio 2007 Sommario Classificazione

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione

Dettagli

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

SQL Injection: i 5 migliori tool per individuarle

SQL Injection: i 5 migliori tool per individuarle SQL Injection: i 5 migliori tool per individuarle SQL Injection è la principale tecnica sfruttata per colpire una applicazione web basata su un database di tipo SQL, potrebbe consentire ad un malintenzionato

Dettagli

Una minaccia dovuta all uso dell SNMP su WLAN

Una minaccia dovuta all uso dell SNMP su WLAN Una minaccia dovuta all uso dell SNMP su WLAN Gianluigi Me, gianluigi@wi-fiforum.com Traduzione a cura di Paolo Spagnoletti Introduzione Gli attacchi al protocollo WEP compromettono la confidenzialità

Dettagli

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti Le problematiche di Web Application Security: la visione di ABI Lab Matteo Lucchetti Senior Research Analyst ABI Lab OWASP-Day II Università La Sapienza, Roma 31st, March 2008 Copyright 2008 - The OWASP

Dettagli

Operation Bloodninja. Phishing Campaign Analysis Report

Operation Bloodninja. Phishing Campaign Analysis Report Operation Bloodninja Phishing Campaign Analysis Report Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php...

Dettagli

Email marketing ed invio newsletter. Invio di messaggi vocali personalizzati

Email marketing ed invio newsletter. Invio di messaggi vocali personalizzati Sistema online professionale per gestire il tuo mailing Email marketing ed invio newsletter SMS marketing Invio massivo di fax Invio di lettere cartacee (prioritaria o raccomandata) Invio di messaggi vocali

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

Indice. Introduzione. PARTE PRIMA PHP: i fondamenti 1

Indice. Introduzione. PARTE PRIMA PHP: i fondamenti 1 Indice Introduzione XV PARTE PRIMA PHP: i fondamenti 1 Capitolo 1 Perché PHP e MySQL? 3 1.1 Cos è PHP? 3 1.2 Cos è MySQL? 4 1.3 La storia di PHP 5 1.4 La storia di MySQL 6 1.5 Le ragioni per amare PHP

Dettagli

Firewall applicativo per la protezione di portali intranet/extranet

Firewall applicativo per la protezione di portali intranet/extranet Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Database e reti. Piero Gallo Pasquale Sirsi

Database e reti. Piero Gallo Pasquale Sirsi Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Introduzione all elaborazione di database nel Web

Introduzione all elaborazione di database nel Web Introduzione all elaborazione di database nel Web Prof.ssa M. Cesa 1 Concetti base del Web Il Web è formato da computer nella rete Internet connessi fra loro in una modalità particolare che consente un

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione

Dettagli

Protocolli e architetture per WIS

Protocolli e architetture per WIS Protocolli e architetture per WIS Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di informazioni e servizi Le architetture moderne dei WIS

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

DOCFINDERWEB SERVICE E CLIENT

DOCFINDERWEB SERVICE E CLIENT DOCFINDERWEB SERVICE E CLIENT Specifiche tecniche di interfacciamento al Web Service esposto da DocPortal Versione : 1 Data : 10/03/2014 Redatto da: Approvato da: RICCARDO ROMAGNOLI CLAUDIO CAPRARA Categoria:

Dettagli

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security

Dettagli

Il sistema IBM DB2. Sistemi Informativi T. Versione elettronica: L01.1.IntroduzioneDB2.pdf

Il sistema IBM DB2. Sistemi Informativi T. Versione elettronica: L01.1.IntroduzioneDB2.pdf Il sistema IBM DB2 Sistemi Informativi T Versione elettronica: L01.1.IntroduzioneDB2.pdf IBM DB2 Il DBMS relazionale IBM DB2 è il prodotto di punta dell IBM per la gestione di basi di dati relazionali

Dettagli

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Obiettivi. Al termine del webinar sarete in grado di:

Obiettivi. Al termine del webinar sarete in grado di: SSL VPN Modulo 1 1 2012 Fortinet Training Services. This training may not be recorded in any medium, disclosed, copied, reproduced or distributed to anyone without prior written consent of an authorized

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Questo punto richiederebbe uno sviluppo molto articolato che però a mio avviso va al di là delle possibilità fornite al candidato dal tempo a disposizione. Mi limiterò quindi ad indicare dei criteri di

Dettagli

sito web sito Internet

sito web sito Internet Siti Web Cos è un sito web Un sito web o sito Internet è un insieme di pagine web correlate, ovvero una struttura ipertestuale di documenti che risiede, tramite hosting, su un web server e accessibile

Dettagli

Indice. Introduzione PARTE PRIMA PHP: I FONDAMENTI

Indice. Introduzione PARTE PRIMA PHP: I FONDAMENTI 00som_PHP_4320_2 12-03-2003 20:59 Pagina V Indice Introduzione XV PARTE PRIMA PHP: I FONDAMENTI Capitolo 1 Perché PHP? 3 1.1 Cos è PHP? 3 1.2 La storia di PHP 4 1.3 Le ragioni per amare PHP 5 1.4 Sommario

Dettagli

Biotrends - Istruzioni per il Setup

Biotrends - Istruzioni per il Setup Biotrends - Istruzioni per il Setup Procedura Operativa Standard Autore Data Firma Francesco Izzo 22.08.2009 Approvato da Data Firma Mauro Pedrazzoli Storia delle edizioni Ed Descrizione Autore Dipartimento/Servizio

Dettagli

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER Sicurezza delle Applicazioni Informatiche Qualificazione dei prodotti di back office Linee Guida RER 1 Cliente Redatto da Verificato da Approvato da Regione Emilia-Romagna CCD CCD Nicola Cracchi Bianchi

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

P.D.M. (Product Document Management) Hierarchycal Tree

P.D.M. (Product Document Management) Hierarchycal Tree DOKMAWEB P.D.M. (Product Document Management) Hierarchycal Tree BBL Technology Srl Via Bruno Buozzi 8 Lissone (MI) Tel 039 2454013 Fax 039 2451959 www.bbl.it www.dokmaweb.it BBL Technology srl (WWW.BBL.IT)

Dettagli

SITI-Reports. Progetto SITI. Manuale Utente. SITI-Reports. ABACO S.r.l.

SITI-Reports. Progetto SITI. Manuale Utente. SITI-Reports. ABACO S.r.l. Progetto SITI Manuale Utente SITI-Reports ABACO S.r.l. ABACO S.r.l. C.so Umberto, 43 46100 Mantova (Italy) Tel +39 376 222181 Fax +39 376 222182 www.abacogroup.eu e-mail : info@abacogroup.eu 02/03/2010

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

Sicurezza e compliance delle App

Sicurezza e compliance delle App Sicurezza e compliance delle App Fabio Pacchiarotti (EY) Roma 23/04/2015 Agenda Presentazione relatore Contesto di riferimento Sicurezza delle App Aspetti di compliance Conclusioni Bibliografia & sitografia

Dettagli

Spett.le Clever Consulting Via Broletto, 39 20121 Milano

Spett.le Clever Consulting Via Broletto, 39 20121 Milano Spett.le Clever Consulting Via Broletto, 39 20121 Milano Milano, 23 Luglio 2007 n. 20070723.mb29 Alla cortese attenzione: Dr. Antonio Tonani Oggetto: per Attività di Security Assessment per Carige Assicurazioni

Dettagli

NAL DI STAGING. Versione 1.0

NAL DI STAGING. Versione 1.0 NAL DI STAGING Versione 1.0 14/10/2008 Indice dei Contenuti 1. Introduzione... 3 2. Installazione NAL di staging... 3 VMWare Server... 3 Preistallazione su server linux... 6 Preinstallazione su server

Dettagli

Metti il turbo all email marketing!

Metti il turbo all email marketing! Metti il turbo all email marketing! Sistema online professionale per gestire: Email marketing ed invio newsletter SMS marketing Invio massivo di fax Invio di lettere cartacee (prioritaria o raccomandata)

Dettagli

Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali. Internet. Roberto Paleari <roberto@security.dico.unimi.

Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali. Internet. Roberto Paleari <roberto@security.dico.unimi. Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Internet Roberto Paleari 14 Maggio 2009 Roberto Paleari Internet 14 Maggio 2009 1 /

Dettagli

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay 2014. abinsula. October 25, 2014

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay 2014. abinsula. October 25, 2014 Ettercap, analisi e sniffing nella rete Gianfranco Costamagna abinsula LinuxDay 2014 October 25, 2014 Chi siamo Abinsula un azienda specializzata in sistemi Embedded, Sicurezza Informatica e sviluppo di

Dettagli

Manuale LiveBox WEB ADMIN. http://www.liveboxcloud.com

Manuale LiveBox WEB ADMIN. http://www.liveboxcloud.com 2015 Manuale LiveBox WEB ADMIN http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa

Dettagli

BIMPublisher Manuale Tecnico

BIMPublisher Manuale Tecnico Manuale Tecnico Sommario 1 Cos è BIMPublisher...3 2 BIM Services Console...4 3 Installazione e prima configurazione...5 3.1 Configurazione...5 3.2 File di amministrazione...7 3.3 Database...7 3.4 Altre

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Luigi Mori Network Security Manager lm@symbolic.it Secure Application Access. Anywhere. 1 VPN SSL Tecnologia di accesso remoto sicuro alla

Dettagli

INFORMATIVA PRIVACY. Politica ed informativa sull'utilizzo cookie

INFORMATIVA PRIVACY. Politica ed informativa sull'utilizzo cookie INFORMATIVA PRIVACY Politica ed informativa sull'utilizzo cookie Informazioni importanti sul consenso: utilizzando il nostro sito web o la nostra app mobile («Sito»), utilizzando i servizi forniti tramite

Dettagli

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012 e VIRTUALCARD 19 Aprile 2012 e VIRTUALCARD Introduzione Il nostro obiettivo é quello di illustrare la struttura e le caratteristiche di fondo che stanno alla base delle transazioni online operate tramite

Dettagli

OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte.

OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte. 1 Guida Utente 1.1 Panoramica di OASIS OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte. Grazie a OASIS, sarai in grado di acquistare o selezionare, dallo store,

Dettagli

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:

Dettagli

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti Il 27 aprile 2012 Il team della società Doctor Web continua a esaminare la prima nella storia botnet di vasta scala creata

Dettagli

Manuale LiveBox WEB ADMIN. http://www.liveboxcloud.com

Manuale LiveBox WEB ADMIN. http://www.liveboxcloud.com 2014 Manuale LiveBox WEB ADMIN http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa

Dettagli