Agenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011
|
|
- Marisa Lorenzi
- 8 anni fa
- Visualizzazioni
Transcript
1 IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza nel Web 2.0 Conclusioni Domande e Risposte 1
2 OWASP I Open Web Application Security Project (OWASP) è dedicato alla creazione e alla diffusione di informazioni relative alla sicurezza delle applicazioni web Il progetto è animato da un gruppo di professionisti del settore ed è attualmente impegnato su diverse linee definizione dei criteri di progettazione analisi del software code review (OWASP Testing Guide) creazione di tool per il vulnerability assessment OWASP Principale linea guida fornita dell OWASP: tutti gli input ricevuti da una applicazione devono essere validati LATO SERVER HTTP request, header, cookie, file batch Fissandosi come obiettivo il rilascio in produzione di applicazioni SICURE, OWASP descrive in modo dettagliato le tipologie di attacco eseguibili contro un applicativo, fornendo indicazioni importanti sulle modalità di auditing L obiettivo di OWASP è quello di sensibilizzare il mondo dell IT (e non solo) sulle conseguenze che queste vulnerabilità possono avere sul proprio Business, sulla propria ed altrui Privacy 2
3 OWASP How to build, design and test the security of web applications and web services ogni sviluppatore, e non solo, dovrebbe analizzare il sito OWASP, ma soprattutto applicarne i consigli OWASP TOP 10 Risks 2007 I. Cross Site Scripting (XSS) II. Injection Flaws III. Malicious File Execution IV. Insecure Direct Object Reference V. Cross Site Request Forgery (CSRF) VI. Information Leaking & Error Handling VII. Broken Authentication & Session Mgmt VIII. Insecure Cryptographic Storage IX. Insecure Communications X. Failure to Restrict URL Access TOP 10 Risks 2010 I. Injection Flaws II. Cross Site Scripting (XSS) III. Broken Authentication & Session Mgmt IV. Insecure Direct Object Reference V. Cross Site Request Forgery (CSRF) VI. Security Misconfiguration VII. Insecure Cryptographic Storage VIII. Failure to Restrict URL Access IX. Insufficient Transport Layer Protection X. Unvalidate Redirects and Forwards 3
4 OWASP OWASP Cosa è stato rimosso? Unvalidated Input Buffer Overflows Denial of Service Insecure Configuration Management Cosa è stato aggiunto? Cross Site Attacks (CSRF) Malicious File Execution Insecure Communications Information Leakage Cosa è stato rimosso? Malicious File Execution Information Leakage (stack trace) Cosa è stato aggiunto? Security Misconfiguration Unvalidated Redirects and Forwards 4
5 I Injection Flaws E relativo all invio, da parte di un attaccante, di dati in input (comandi o query) passati dall applicazione web all interprete senza essere validati Vi sono molti tipi di Injection Flaws: SQL Injection (la più comune) LDAP Injection XPath XSLT XML HTML OS Command Injection Questo attacco permette di creare, leggere, modificare, cancellare qualsiasi informazione associata all applicazione. Un attaccante ha l opportunità di compromettere completamente l applicazione e il S.O. sottostante, riuscendo a bypassare eventuali firewall I Injection Flaws Esempio (SQL Injection): Sito web con accesso controllato da username e password controllate su database: SELECT * FROM users WHERE id= $1 AND pwd= $2 Hacker: admin or 1=1 -- SELECT * FROM users WHERE id= admin AND pwd= OR 1=1 -- Soluzione: Filtrare gli input ricevuti dall applicazione Effettuare una completa code review del codice sorgente 5
6 I Injection Flaws Un Injection Flaw può essere facilmente individuato esaminando il codice, mentre è più difficile tramite il testing SCANNERS FUZZERS I Injection Flaws Tools che aiutano chi difende, per analizzare la propria applicazione.. Ma anche chi attacca!!! SCANNERS FUZZERS Analizzano in modo automatico i parametri di un applicazione, testando la robustezza contro attacchi di SQL Injection, Buffer Overflow, Format String, Command Execution, Directory Traversal etc WebScarab Spike Proxy Burp Suite 6
7 II - Cross Site Scripting XSS (MAGGIOR DIFETTO ) Si verifica quando un applicazione riceve dati forniti in input dall utente, e li elabora senza effettuare la validazione o l encoding del contenuto (escaping) Quando l applicazione restituisce i dati al client, il Browser che interpreta tali dati non verificati, si trova ad eseguire attività malevole Hijaking della sessione utente Esecuzione Malware Attacchi di Phishing Esecuzione di Script sul Browser (in genere JavaScript) Diversi tipi di XSS 1. Stored 2. Reflective II - Cross Site Scripting XSS Stored Ha successo quando un client Web invia dei dati che sono immediatamente immagazzinati dall applicazione web (DB, FS etc.) e tali informazioni sono poi successivamente inviate ad altri utenti in una pagina web fornita dalla stessa applicazione, senza opportuna codifica delle entità HTML Lo script è inserito in un form e salvato as-is dall application server nel database, e poi presentato as-is alle vittime Reflective Ha successo quando un client Web fornisce dei dati che sono immediatamente utilizzati da script sul server per generare le informazioni richieste, e sono poi restituiti al browser senza un opportuno HTML encoding Lo script è camuffato all interno di un URL, e inviato via mail alla vittima (o alle vittime) 7
8 II - Cross Site Scripting XSS Chi attacca può impadronirsi della sessione, eseguire il defacing del sito, inserire contenuti ostili, reindirizzare l utente ma è oggettivamente difficile eseguire attacchi devastanti solo utilizzando XSS Soluzione: Filtrare gli input forniti dagli utenti per eliminare tag HTML e script Quando l applicazione restituisce i dati al Client, occorre essere certi che il Browser li interpreterà come testo, e non come «contenuto attivo». Servono verifiche manuali II - Cross Site Scripting XSS Esempio (Stored XSS): Forum in cui gli utenti possono inserire commenti sugli articoli pubblicati Un hacker inserisce un commento con un opportuno javascript votehillary.org 8
9 III Broken Authentication & Session Management Queste due vulnerabilità sono riconducibili ad un errata implementazione della gestione delle credenziali di accesso e/o delle chiavi di sessioni che rendono possibili accessi non autorizzati all applicazione, tramite «impersonificazione» di altre identità vittime Hijacking di Utenze o Account Amministrativi Vulnerabilità dovute ad errori nell implementazioni delle procedure: Logout Gestione Password Remember me Time-Out Aggiornamento Account Gli sviluppatori spesso realizzano approcci personalizzati di gestione della sessione e dell autenticazione a volte è difficile rilevare questa vulnerabilità, ma se sfruttata ha conseguenze molto negative in genere chi testa ha a disposizione una user «base», e tenta una escalation dei privilegi 9
10 III Broken Authentication & Session Management Esempio: Un sito web utilizza un session ID in chiaro e non randomico: Hacker: prova ad utilizzare procedure a cui solitamente non ha accesso: Soluzioni: Utilizzare tecniche adeguate per la gestione della sessione Non utilizzare funzioni come il remember me Imporre il time-out automatico sulle sessioni IV Insecure Direct Object Reference Tale vulnerabilità si presenta quando nell applicazione sono presenti elementi liberamente manipolabili (file, directory, record database, key, parametri URL/Form) in grado di permettere di risalire ad ulteriori informazioni tali da portare ad una escalation dei privilegi o all acquisizione di dati critici!!! Qualsiasi Web Application Framework può essere vulnerabile!!! E molto importante, durante la scrittura del codice applicativo, evitare che l applicazione permetta ad un malintenzionato di manipolare i riferimenti diretti agli oggetti 10
11 IV Insecure Direct Object Reference Chi attacca, cambia il valore di un parametro, che fa riferimento ad un oggetto, accedendo ad un altro oggetto senza che l utente abbia l autorizzazione necessaria E opportuno che il name space sia offuscato (nomi e chiavi arbitrari o randomici)!!! IV Insecure Direct Object Reference Esempio: Sito web che permette di selezionare la lingua Il codice applicativo è del tipo: <select name="lang"><option value="it">italy-italian</option> require_once ($_REQUEST['lang']."lang.php"); Hacker: cambia il parametro della lingua inserendo: require_once ($_REQUEST['../../../../etc/passwd%00']. "lang.php"); Soluzione: Permettere gli accessi agli oggetti in modo controllato Effettuare una completa code review del codice sorgente 11
12 V Cross Site Request Forgery Un attacco di questo tipo ha lo scopo di forzare il browser di una vittima ad eseguire operazioni da lui non espressamente richieste, sfruttando una vulnerabilità applicativa come una non corretta implementazione delle sessioni ed un passaggio dei parametri e dei rispettivi valori di una richiesta attraverso l uso del metodo GET E un attacco semplice ma devastante La vulnerabilità è efficace, in quanto oggi la maggior parte delle applicazioni web si basa su una gestione delle credenziali attraverso cookie di sessione, basic authentication, indirizzo IP sorgente, certificati SSL, credenziali di dominio Windows V Cross Site Request Forgery L attaccante crea richieste HTTP malevoli, ingannando la vittima attraverso immagini, tag, XSS o numerose altre tecniche Occorre verificare che tutti i link/form contengano un token (possibilmente unico per ogni sessione utente o per ogni richiesta, nel Body) non prevedibile, per ogni utente. Senza questo l hacker/cracker può generare richieste malevoli 12
13 V Cross Site Request Forgery Esempio : Sito web bancario, URL per effettuare un bonifico: Hacker: invia una mail con un link contraffatto ad un cliente della banca: Soluzione: Inserire un token nascosto con valore casuale nei form Non accettare GET ma solo POST In caso di ri-autenticazione visualizzare una pagina di default V Cross Site Request Forgery Da OWASP 13
14 VI Security Misconfiguration Ad oggi è ancora la vulnerabilità più rilevante e presente sui sistemi IT in generale Esempi Applicazioni e sistemi non hardenizzati (dal disclosure alla mancanza di patch) Presenza delle configurazioni di default (install, next, next, next, finish) Errata gestione degli errori applicativi e di sistema Accesso alle interfacce amministrative non protetto (e con pwd di default) why? pcché? VI Security Misconfiguration Si possono rilevare ad ogni «livello» dell applicazione.. piattaforma, web server, application server, framework, codice personalizzato Sviluppatori e amministratori di rete devono lavorare insieme per mitigare i rischi 14
15 VI Security Misconfiguration Esempio: Soluzione: Effettuare un audit dettagliato dell applicazione e dei sistemi (credenziali di default, porte/servizi, patch, gestione errori ) VII Insecure Cryptographic Storage Si tratta di una vulnerabilità causata dalla non corretta conservazione dei dati e dall errata implementazione delle funzioni applicative create con lo scopo di proteggere i dati sensibili Problemi legati a: Utilizzo errato algoritmi di crittatura Utilizzo metodi di crittatura deboli Portano a: Disclosure di informazioni Compliance Violations 15
16 VII Insecure Cryptographic Storage IMPO: occorre SEMPRE cifrare dati sanitari, dati di carte di credito, password ed informazioni personali ma soprattutto: Cifrate ovunque!!! (es. anche nelle copie di backup) Funzioni di decifratura (es. query SQL), se necessarie, solo nel Back-End Solo user autorizzati devono poter accedere ai dati in chiaro Usare un algoritmo standard e ROBUSTO (no fai da te ) Usare chiavi di cifratura robuste e i salt / iv VII Insecure Cryptographic Storage Esempio (brute force password attack): l \ n 26 (minuscole) 36 (minuscole alfanumeriche) 62 (miste alfanumeriche) 95 (tutti i caratteri) 5 0,67 ore 3,4 ore 51 ore 430 ore 6 17 ore 120 ore 130 giorni 4,7 anni 7 19 ore 180 giorni 22 anni 440 anni 8 1,3 anni 18 anni anni anni 9 34 anni 640 anni anni anni anni anni anni anni 16
17 VIII Failure to Restrict URL Access Questa vulnerabilità si manifesta quando si utilizza, come metodo di protezione, la tecnica Security through Obscurity per proteggere aree di un applicazione web che non dovrebbero essere accessibili ad utenze non autorizzate Attacco di Force Browsing utilizza tecniche di brute force per trovare pagine nascoste Esempi: URL nascosti o speciali (/admin/adduser.php, /config/db.inc) Accesso a file nascosti (XML statici, report, documenti pdf) Sistemi di autenticazione deboli (flash, java applet) VIII Failure to Restrict URL Access È semplice identificare queste vulnerabilità, ma è difficile identificare le pagine(url) esistenti da attaccare i principali bersagli sono le pagine di amministrazione E importante catalogare ogni pagina della propria Applicazione, decidendo per ognuna se deve essere considerata pubblica o privata 17
18 VIII Failure to Restrict URL Access Esempio: Soluzione: Effettuare un audit dettagliato dell applicazione IX Insufficient Transport Layer Protection Questa vulnerabilità consente ad un hacker di intercettare informazioni quali credenziali di accesso e informazioni riservate che transitano su canali non cifrati Gli attacchi di solito sfruttano SNIFFERS e sono perpetrabili su ogni rete, anche switched Nel caso in cui la comunicazione non sia cifrata correttamente, il classico attacco man-in-the-middle (MTM) (in cui il traffico di rete viene dirottato da un hacker) ottiene il massimo dei risultati possibili 18
19 IX Insufficient Transport Layer Protection Spesso le applicazioni non proteggono correttamente il traffico di rete, utilizzando SSL/TLS solo durante la fase di autenticazione, utilizzando certificati scaduti o non configurati correttamente IX Insufficient Transport Layer Protection Esempio: Soluzioni: Utilizzare comunicazioni cifrate anche per le applicazioni interne Effettuare audit di sicurezza sui protocolli applicativi e di rete Non utilizzare algoritmi di cifratura fai-da-te, ma solo algoritmi ROBUSTI 19
20 X Unvalidated Redirects and Forwards Questa vulnerabilità consente ad un hacker di accedere a componenti applicative o dati per le quali non è autorizzato oppure di forzare una vittima ad accedere ad un URL non previsto Le applicazioni più vulnerabili sono quelle che utilizzano delle soluzioni faida-te oppure dei framework con errori di programmazione o non manutenuti nel tempo Esempi: Accesso non autorizzato a risorse applicative Attacchi al client verso terze parti Installazione Malware / Phishing X Unvalidated Redirects and Forwards L attaccante forza la vittima a cliccare su un link con un redirect non validato. Le applicazioni redirigono spesso gli utenti verso altre pagine o usano forward interni, e purtroppo a volte la pagina bersaglio è specificata in un parametro non validato lato server 20
21 X Unvalidated Redirects and Forwards Esempio: Navigando un comune sito web Soluzioni: Un Hacker fantasioso Invia una mail ad un vittima con un URL Oppure naviga direttamente facendo qualche piccola modifica Evitare di usare Redirect e Forward Non utilizzare parametri per costruire l URL di destinazione Effettuare audit di sicurezza sull applicazione web Sicurezza nel web 2.0 Web 2.0 è un nuovo termine coniato per descrivere una «nuova» generazione di applicazioni web che dovrebbero avere come elementi trainanti la dimensione sociale, la condivisione e l indipendenza dei dati dal produttore (blog, forum, chat, sistemi quali Wikipedia, Youtube, Facebook, Myspace, Twitter, Gmail, Wordpress) La tecnologia utilizzata per implementare questa nuova versione del web è sempre la stessa: TCP, HTTP etc, cambia solo il modo di pensare le applicazioni ed i framework utilizzati per svilupparle (AJAX, Adobe Flex etc.) 21
22 Sicurezza nel web 2.0 Le vulnerabilità presenti nelle applicazioni web 2.0 sono le stesse presenti nelle applicazioni web versione 1.0 es: XSS, SQL Injection A cui si aggiungono nuovi vettori di attacco, dovuti principalmente all uso di framework con elevato livello di interattività client/server, realizzati mediante XML: XML Poisoning Malicious AJAX Code Execution WSDL Scanning and Enumeration Client Side Validation Attack Web Service Routing Attack SOAP Parameter Manipulation XPATH Injection in XML Messages Sicurezza nel web 2.0 WSDL Scanning and Enumeration Il WSDL (Web Services Definition Language) è un interfaccia per i web service. Questo file fornisce informazioni chiave sulla tecnologia utilizzata, sui metodi esposti e sulla modalità di invocazione Queste informazioni sono veramente importanti e possono fornire ad un hacker molti punti di attacco!!! Oggetti più comunemente attaccati: UDDI (Universal Description Discovery and Integration) DISCO (Web Service Discovery) DISCOMAP (file) WSDL (file) 22
23 Sicurezza nel web 2.0 WSDL Scanning and Enumeration Esempio: Soluzioni: Limitare l accesso alle informazioni sui web services Cifrare la comunicazione con i web services Effettuare audit appositi sulle applicazioni SOAP/WS based Sicurezza nel web 2.0 RSS/Atom Injection E un nuovo tipo di attacco molto sfruttato per colpire le applicazioni web 2.0 I feed RSS sono un metodo comune per condividere le informazioni tra portali ed applicazioni web Un attaccante può, per esempio, pubblicare in un feed un javascript che può eseguire azioni maligne (quella più comune è di rubare i cookie autorizzativi) Oggetti più comunemente usati come vettori di attacco: Javascript Applicazioni Flash Controlli ActiveX Applet Java 23
24 Sicurezza nel web 2.0 RSS/Atom Injection Esempio: Una applicazione web integra un feed RSS che arriva da un sito non sicuro: Hacker: pubblica nel feed un immagine particolare: src=" Soluzioni: Filtrare tutti gli input forniti alle applicazioni Integrare feed che provengono solo da siti web sicuri Effettuare audit appositi sulle applicazioni SOAP/WS based Conclusioni 1. La sicurezza applicativa è un campo in continua evoluzione, nuovi applicativi compaiono ogni giorno 2. Gli sviluppatori sono sempre più pressati per consegnare prodotti con un time-to-market sempre più ridotto 3. La complessità delle applicazioni aumenta con l uso di framework e componenti non sempre sviluppati pensando alla sicurezza La sicurezza applicativa NON è un prodotto, ma è un processo che necessita di: Addestramento per la scrittura di codice sicuro Auditing accurato delle Applicazioni Implementazione di un SDL (Secure Development Lifecycle) Competenze specifiche da aggiornare continuamente 24
25 Riferimenti Libri Web Application Hacker s Handbook Hacking Exposed Web 2.0 Developer s Guide to Web Application Security Riferimenti Web OWASP Web Application Security Consortium Google 25
26 Domande e risposte Riferimento: sec-sl@aizoon.it 26
Carlo, Pelliccioni Security
OWASP Top 10 2007 Le nostre informazioni sono veramente al sicuro? Carlo, Pelliccioni Security Consultant, @Mediaservice.net OWASP-Day Università La Sapienza Rome 10 th September 2007 carlo@mediaservice.net
DettagliTeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
DettagliUna minaccia dovuta all uso dell SNMP su WLAN
Una minaccia dovuta all uso dell SNMP su WLAN Gianluigi Me, gianluigi@wi-fiforum.com Traduzione a cura di Paolo Spagnoletti Introduzione Gli attacchi al protocollo WEP compromettono la confidenzialità
DettagliAttacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)
UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL
DettagliKLEIS WEB APPLICATION FIREWALL
KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application
DettagliApplication Assessment Applicazione ARCO
GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946
DettagliApplicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,
DettagliI MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale
La soluzione modulare di gestione del Sistema Qualità Aziendale I MODULI Q.A.T. - Gestione clienti / fornitori - Gestione strumenti di misura - Gestione verifiche ispettive - Gestione documentazione del
DettagliSiti interattivi e dinamici. in poche pagine
Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata
DettagliSITI-Reports. Progetto SITI. Manuale Utente. SITI-Reports. ABACO S.r.l.
Progetto SITI Manuale Utente SITI-Reports ABACO S.r.l. ABACO S.r.l. C.so Umberto, 43 46100 Mantova (Italy) Tel +39 376 222181 Fax +39 376 222182 www.abacogroup.eu e-mail : info@abacogroup.eu 02/03/2010
DettagliLBSEC. http://www.liveboxcloud.com
2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità
DettagliLegenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.
Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il
DettagliManuale LiveBox APPLICAZIONE ANDROID. http://www.liveboxcloud.com
2014 Manuale LiveBox APPLICAZIONE ANDROID http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia
DettagliDOCFINDERWEB SERVICE E CLIENT
DOCFINDERWEB SERVICE E CLIENT Specifiche tecniche di interfacciamento al Web Service esposto da DocPortal Versione : 1 Data : 10/03/2014 Redatto da: Approvato da: RICCARDO ROMAGNOLI CLAUDIO CAPRARA Categoria:
DettagliManuale LiveBox WEB ADMIN. http://www.liveboxcloud.com
2014 Manuale LiveBox WEB ADMIN http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliTeamPortal. Infrastruttura
TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal
Dettaglisito web sito Internet
Siti Web Cos è un sito web Un sito web o sito Internet è un insieme di pagine web correlate, ovvero una struttura ipertestuale di documenti che risiede, tramite hosting, su un web server e accessibile
Dettagli19. LA PROGRAMMAZIONE LATO SERVER
19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici
DettagliLA GESTIONE DELLE VISITE CLIENTI VIA WEB
LA GESTIONE DELLE VISITE CLIENTI VIA WEB L applicazione realizzata ha lo scopo di consentire agli agenti l inserimento via web dei dati relativi alle visite effettuate alla clientela. I requisiti informatici
DettagliObiettivo dell esercitazione
Database e Web - Esercitazioni ASP - Andrea Proli proliand@csr.unibo.it Laboratorio di Basi di Dati A.A. 2005/2006 Obiettivo dell esercitazione L obiettivo finale dell esercitazione è quello di creare
DettagliE-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI
E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA Ottimizzazione dei processi aziendali Con il modulo E-mail Integrata, NTS Informatica ha realizzato uno strumento di posta elettronica
DettagliDatabase e reti. Piero Gallo Pasquale Sirsi
Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente
DettagliManuale LiveBox WEB ADMIN. http://www.liveboxcloud.com
2014 Manuale LiveBox WEB ADMIN http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
DettagliPrimi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment
TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa
DettagliManuale LiveBox APPLICAZIONE ANDROID. http://www.liveboxcloud.com
2014 Manuale LiveBox APPLICAZIONE ANDROID http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia
DettagliIstruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)
Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito) Le seguenti istruzioni sono relative all installazione di IBM SPSS Modeler Text Analytics versione 15 mediante un licenza
DettagliNelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento
I protocolli del livello di applicazione Porte Nelle reti di calcolatori, le porte (traduzione impropria del termine port inglese, che in realtà significa porto) sono lo strumento utilizzato per permettere
DettagliE-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI
E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA Ottimizzazione dei processi aziendali Con il modulo E-mail Integrata, NTS Informatica ha realizzato uno strumento di posta elettronica
DettagliGuida di Pro Spam Remove
Guida di Pro Spam Remove 1) SOMMARIO 2) ISTRUZIONI DI BASE 3) CONFIGURAZIONE 4) FILTRO 5) ARCHIVIO E-MAIL 6) NOTE CONCLUSIVE 1) SOMMARIO Pro Spam Remove è un software che si occupa di bloccare tutto lo
DettagliSommario. 1. Cos è SecureDrive... 3. 1.1. Caratteristiche... 3. 1.1.1. Privacy dei dati: SecureVault... 4
Allegato Tecnico Pagina 2 di 7 Marzo 2015 Sommario 1. Cos è... 3 1.1. Caratteristiche... 3 1.1.1. Privacy dei dati: SecureVault... 4 1.1.1.1. Funzione di Recupero del Codice di Cifratura... 4 1.1.2. Sicurezza
DettagliLezione 1 Introduzione
Lezione 1 Introduzione Ingegneria dei Processi Aziendali Modulo 1 Servizi Web Unità didattica 1 Protocolli Web Ernesto Damiani Università di Milano I Servizi Web Un Servizio Web è un implementazione software
DettagliCorso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti
Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione
DettagliProblematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
DettagliApprofondimento di Marco Mulas
Approfondimento di Marco Mulas Affidabilità: TCP o UDP Throughput: banda a disposizione Temporizzazione: realtime o piccoli ritardi Sicurezza Riservatezza dei dati Integrità dei dati Autenticazione di
DettagliIndice register_globals escaping
1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross
DettagliModulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress
Copyright Andrea Giavara wppratico.com Modulo 4 Il pannello amministrativo dell'hosting e il database per Wordpress 1. Il pannello amministrativo 2. I dati importanti 3. Creare il database - Cpanel - Plesk
DettagliDomenico Ercolani Come gestire la sicurezza delle applicazioni web
Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow
DettagliMARKETING AUTOMATION CAMPAIGN
MARKETING AUTOMATION CAMPAIGN PIATTAFORMA PROFESSIONALE PER IL DIRECT MARKETING Validità: Dicembre 2013 Questa pubblicazione è puramente informativa. 24 ORE SOFTWARE non offre alcuna garanzia, esplicita
DettagliManuale LiveBox APPLICAZIONE IOS. http://www.liveboxcloud.com
2014 Manuale LiveBox APPLICAZIONE IOS http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa
DettagliFirewall applicativo per la protezione di portali intranet/extranet
Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)
DettagliATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE
ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE PREMESSA La presente guida è da considerarsi come aiuto per l utente per l installazione e configurazione di Atollo Backup. La guida non vuole approfondire
DettagliIl Sito web www.agordino.net, usa i cookie per raccogliere informazioni utili a
Cookie Policy INFORMATIVA ESTESA SULL USO DEI COOKIE www.agordino.net Il Sito web www.agordino.net, usa i cookie per raccogliere informazioni utili a migliorare la tua esperienza online. La presente policy
Dettagli2.1 Installazione e configurazione LMS [4]
2.1 Installazione e configurazione LMS [4] Prerequisti per installazione su server: Versione PHP: 4.3.0 o superiori (compatibilità a php5 da versione 3.0.1) Versione MySql 3.23 o superiori Accesso FTP:
DettagliP.D.M. (Product Document Management) Hierarchycal Tree
DOKMAWEB P.D.M. (Product Document Management) Hierarchycal Tree BBL Technology Srl Via Bruno Buozzi 8 Lissone (MI) Tel 039 2454013 Fax 039 2451959 www.bbl.it www.dokmaweb.it BBL Technology srl (WWW.BBL.IT)
DettagliInstallazione di Moodle. Preparato per: Gruppo A, Piattaforma di E - Learning Preparato da: Cinzia Compagnone, Vittorio Saettone
Installazione di Moodle Preparato per: Gruppo A, Piattaforma di E - Learning Preparato da: Cinzia Compagnone, Vittorio Saettone 21 maggio 2006 Installazione di Moodle Come installare Moodle: Questa guida
DettagliClient - Server. Client Web: il BROWSER
Client - Server Client Web: il BROWSER Il client Web è un applicazione software che svolge il ruolo di interfaccia fra l utente ed il WWW, mascherando la complessità di Internet. Funzioni principali Inviare
DettagliCapitolo 4 Pianificazione e Sviluppo di Web Part
Capitolo 4 Pianificazione e Sviluppo di Web Part Questo capitolo mostra come usare Microsoft Office XP Developer per personalizzare Microsoft SharePoint Portal Server 2001. Spiega come creare, aggiungere,
DettagliSMS API. Documentazione Tecnica YouSMS SOAP API. YouSMS Evet Limited 2015 http://www.yousms.it
SMS API Documentazione Tecnica YouSMS SOAP API YouSMS Evet Limited 2015 http://www.yousms.it INDICE DEI CONTENUTI Introduzione... 2 Autenticazione & Sicurezza... 2 Username e Password... 2 Connessione
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliSERVICE BROWSER. Versione 1.0
SERVICE BROWSER Versione 1.0 25/09/2008 Indice dei Contenuti 1. Scopo del documento... 3 2. Introduzione... 3 3. Accordi di Servizio... 4 4. Servizi... 5 5. Servizio: Schede Erogatori... 8 6. Servizio:
DettagliMANUALE PARCELLA FACILE PLUS INDICE
MANUALE PARCELLA FACILE PLUS INDICE Gestione Archivi 2 Configurazioni iniziali 3 Anagrafiche 4 Creazione prestazioni e distinta base 7 Documenti 9 Agenda lavori 12 Statistiche 13 GESTIONE ARCHIVI Nella
DettagliREOL-Services Quick Reference Ver. 1.1 Tecno Press Srl. 1
In questa semplice guida sono riportate tutte le informazioni relative alla prima registrazione e quelle relative alla configurazione dell ambiente di lavoro per poter utilizzare al meglio la nostra suite
DettagliGuida Rapida all uso del License Manager di ROCKEY4Smart (V. 1.0.10.724)
Guida Rapida all uso del License Manager di ROCKEY4Smart (V. 1.0.10.724) Procedo con un esempio: voglio proteggere una applicazione (nell esempio Blocco Note di Windows: notepad.exe) per distribuirla con
DettagliMac Application Manager 1.3 (SOLO PER TIGER)
Mac Application Manager 1.3 (SOLO PER TIGER) MacApplicationManager ha lo scopo di raccogliere in maniera centralizzata le informazioni piu salienti dei nostri Mac in rete e di associare a ciascun Mac i
DettagliRisultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti
Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti Il 27 aprile 2012 Il team della società Doctor Web continua a esaminare la prima nella storia botnet di vasta scala creata
DettagliTecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer
Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client
DettagliAttacchi alle Applicazioni Web
Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security
DettagliSistema Informativo Valutazioni e PRocedimenti Ambientali (SIPRA)
Sistema Informativo Valutazioni e PRocedimenti Ambientali (SIPRA) Guida alla configurazione della postazione di lavoro e accesso al servizio STATO DELLE VARIAZIONI Versione Paragrafo o Pagina Descrizione
DettagliGuida all installazione di Easy
Guida all installazione di Easy ISTRUZIONI PER L INSTALLAZIONE DEL SOFTWARE EASY Requisiti di sistema Sistemi operativi supportati: Windows 2000 Service Pack 4; Windows Server 2003 SP2(consigliato per
DettagliBenvenuti. Luca Biffi, Supporto Tecnico Achab supporto@achab.it
Benvenuti Luca Biffi, Supporto Tecnico Achab supporto@achab.it DriveLock: bloccare le applicazioni indesiderate Agenda 3 semplici domande Application control di DriveLock Confronto con Windows 7 Conclusioni
DettagliAruba Sign 2 Guida rapida
Aruba Sign 2 Guida rapida 1 Indice Indice...2 1 Informazioni sul documento...3 1.1 Scopo del documento...3 2 Prerequisiti...4 2.1.1 Software...4 2.1.2 Rete...4 3 Installazione...5 Passo 2...5 4 Avvio di
DettagliSicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML
Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security
DettagliLBSEC. http://www.liveboxcloud.com
2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità
DettagliCREATIVE-LINK realizzazione siti web E-COMMERCE? e-commerce completo. offerta realizzazione sito web professionale
e-commerce completo offerta realizzazione sito web professionale La soluzione completa per vendere i tuoi prodotti su internet con gli articoli in offerta sempre aggiornati e la newsletter delle ultime
DettagliPSNET UC RUPAR PIEMONTE MANUALE OPERATIVO
Pag. 1 di 17 VERIFICHE E APPROVAZIONI VERSIONE V01 REDAZIONE CONTROLLO APPROVAZIONE AUTORIZZAZIONE EMISSIONE NOME DATA NOME DATA NOME DATA PRATESI STATO DELLE VARIAZIONI VERSIONE PARAGRAFO O DESCRIZIONE
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliEsempi pratici, risultati e contromisure consigliate. Massimo Biagiotti
L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione
DettagliCorso di Informatica di Base. Laboratorio 2
Corso di Informatica di Base Laboratorio 2 Browser web Sara Casolari Il browser web E' un programma che consente di visualizzare informazioni testuali e multimediali presenti in rete Interpreta pagine
DettagliLa sicurezza nel Web
La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione
DettagliGuida alla registrazione on-line di un DataLogger
NovaProject s.r.l. Guida alla registrazione on-line di un DataLogger Revisione 3.0 3/08/2010 Partita IVA / Codice Fiscale: 03034090542 pag. 1 di 17 Contenuti Il presente documento è una guida all accesso
DettagliIndice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28
Indice 25 184 Introduzione XI Capitolo 1 Impostazione dell ambiente di sviluppo 2 1.1 Introduzione ai siti Web dinamici 2 1.2 Impostazione dell ambiente di sviluppo 4 1.3 Scaricamento di Apache 6 1.4 Installazione
Dettagli2009. STR S.p.A. u.s. Tutti i diritti riservati
2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE
DettagliAscoCollabora Manuale Utente. Release 1.3
AscoCollabora Manuale Utente Release 1.3 martedì 15 aprile 2014 Sommario Presentazione... 3 Interfaccia Web... 4 Accesso ai propri file... 5 Windows... 5 Via CloudTools... 5 Mobile... 6 Versioning dei
DettagliProtezione delle informazioni in SMart esolutions
Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti
DettagliVERSIONE 3.0. THEMIS Srl Via Genovesi, 4 10128 Torino www.themis.it
THEMIS Srl Via Genovesi, 4 10128 Torino www.themis.it TEL / FAX 011-5096445 e-mail info@themis.it Incubatore Imprese Innovative Politecnico di Torino VERSIONE 3.0 PhC è una piattaforma software conforme
DettagliGuida all Installazione del ProxyFatturaPA
i Guida all Installazione del ii Copyright 2005-2014 Link.it srl iii Indice 1 Introduzione 1 2 Fase Preliminare 1 3 Esecuzione dell Installer 1 4 Fase di Dispiegamento 5 4.1 JBoss 5.x e 6.x....................................................
DettagliManuale di installazione per scarico referti FSE (Fascicolo Sanitario Elettronico)
Pag. 1 di 13 Manuale di insta per scarico referti FSE (Fascicolo Sanitario Elettronico) Versione 02 INDICE 1. SCOPO E RIFERIMENTI DEL DOCUMENTO... 2 1.1 SCOPO DEL DOCUMENTO... 2 1.2 RIFERIMENTI... 2 2.
DettagliANAGRAFE ALUNNI ISTRUZIONI PER LE SCUOLE PARITARIE Linee guida per la trasmissione delle nuove iscrizioni a.s. 2010/11
ANAGRAFE ALUNNI ISTRUZIONI PER LE SCUOLE PARITARIE Linee guida per la trasmissione delle nuove iscrizioni a.s. 2010/11 Al fine di poter trasmettere i dati delle Iscrizioni per l a.s. 2010/11 le scuole
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliLa Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server
La Soluzione per Fusioni e acquisizioni, changing management, pianificazione e sviluppo del business, la documentazione correlata ai consigli di amministrazione, il corretto utilizzo dei documenti riservati
DettagliSPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)
SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli) Le seguenti istruzioni sono relative all installazione di SPSS Statistics con licenza per utenti singoli. Una
DettagliModulo Antivirus per Petra 3.3. Guida Utente
Modulo Antivirus per Petra 3.3 Guida Utente Modulo Antivirus per Petra 3.3: Guida Utente Copyright 1996, 2005 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata,
DettagliTracciabilità degli utenti in applicazioni multipiattaforma
Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del
DettagliManuale per la configurazione di AziendaSoft in rete
Manuale per la configurazione di AziendaSoft in rete Data del manuale: 7/5/2013 Aggiornamento del manuale: 2.0 del 10/2/2014 Immagini tratte da Windows 7 Versione di AziendaSoft 7 Sommario 1. Premessa...
DettagliProtocolli applicativi: FTP
Protocolli applicativi: FTP FTP: File Transfer Protocol. Implementa un meccanismo per il trasferimento di file tra due host. Prevede l accesso interattivo al file system remoto; Prevede un autenticazione
DettagliCOMUNE DI IMOLA. Portale Servizi Demografici GUIDA ALL'ACCESSO
COMUNE DI IMOLA Portale Servizi Demografici GUIDA ALL'ACCESSO (Versione 0.5 del 31/12/08) L'accesso al Portale Demografici è riservato ai residenti maggiorenni del Comune di Imola. A tutela dei dati presenti,
DettagliSSO Specifiche Funzionali
SSO Specifiche Funzionali oggetto... : SSO Siti Istituzionali Class abbonamenti data ultimo aggiornamento... : 29/01/2014 N Data Descrizione Approvato da: 1.0 11-03-2013 Versione 1.0 Roberto Santosuosso
DettagliInternet e posta elettronica. A cura di Massimiliano Buschi
Internet e posta elettronica A cura di Massimiliano Buschi Concetti fondamentali Internet www Tcp/ip Browser Terminologia Esistono un sacco di termini con cui bisogna famigliarizzare http url Link Isp
DettagliARCHIVIA PLUS VERSIONE SQL SERVER
Via Piemonte n. 6-6103 Marotta di Mondolfo PU tel. 021 960825 fax 021 9609 ARCHIVIA PLUS VERSIONE SQL SERVER Istruzioni per configurazione sql server e conversione degli archivi Versione n. 2011.09.29
DettagliSistema Gestionale FIPRO. Dott. Enea Belloni Ing. Andrea Montagnani
Sistema Gestionale FIPRO Dott. Enea Belloni Ing. Andrea Montagnani Firenze, 29 Aprile 2010 Sommario della presentazione Il sistema informatico per la gestione progetti FIPRO L utente presentatore: diritti
DettagliPortale Suap SPORVIC2 Manuale Prerequisiti tecnici di sistema
Portale Suap SPORVIC2 Manuale Prerequisiti tecnici di sistema Versione 1.0 > I N D I C E < Sommario 1. PREREQUISITI PER L UTILIZZO DEL SISTEMA... 3 Browser e sistemi operativi... 3 Certificati di autenticazione
DettagliCOOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?
COOKIES Per far funzionare bene questo sito, a volte installiamo sul tuo dispositivo dei piccoli file di dati che si chiamano cookies. Anche la maggior parte dei grandi siti fanno lo stesso. COSA SONO
DettagliCreare connessioni cifrate con stunnel
ICT Security n. 24, Giugno 2004 p. 1 di 5 Creare connessioni cifrate con stunnel Capita, e purtroppo anche frequentemente, di dover offrire servizi molto insicuri, utilizzando ad esempio protocolli che
DettagliInstallazione di GFI WebMonitor
Installazione di GFI WebMonitor Requisiti di sistema di GFI WebMonitor Server Microsoft Windows 2000 (SP 3) o 2003. Microsoft ISA 2000 Server (non in modalità solo firewall) OPPURE Server Microsoft ISA
DettagliBOLLETTINO DI SICUREZZA INFORMATICA
STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere
DettagliCookie Policy per www.lalocandadisettala.com
Policy per www.lalocandadisettala.com Uso dei cookie Il "Sito" (www.lalocandadisettala.com) utilizza i per rendere i propri servizi semplici e efficienti per l utenza che visiona le pagine di www.lalocandadisettala.com.
Dettagli