Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)
|
|
|
- Gianfranco Benedetti
- 8 anni fa
- Visualizzazioni
Transcript
1 UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) Docente: Prof. O.Tomarchio AA 2007/2008 Simona Ullo (UniCT) Attacchi alle applicazioni web 1 / 25
2 Sommario Parleremo di... 1 Introduzione La sicurezza nelle applicazioni web Vulnerabilità delle applicazioni web 2 SQL injection Caratteristiche generali Principali vulnerabilità e possibili attacchi Tecniche di protezione per SQL injection Tecniche di protezione per SQL injection Esempi di SQL injection 3 Cross-Site Scripting Caratteristiche generali Attacchi XSS Tecniche di protezione da attacchi XSS Esempi di attacchi XSS 4 Paros Proxy Cos è Paros? Un esempio di scansione con Paros Simona Ullo (UniCT) Attacchi alle applicazioni web 2 / 25
3 Introduzione La sicurezza nelle applicazioni web Introduzione Applicazioni web sicure? Simona Ullo (UniCT) Attacchi alle applicazioni web 3 / 25
4 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25
5 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25
6 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25
7 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25
8 Introduzione La sicurezza nelle applicazioni web Applicazioni web sicure? La situazione attuale Lo sviluppo crescente del web ha portato alla diffusione di contenuti web dinamici la cui sicurezza è spesso sottovalutata. Quando si gestiscono informazioni di carattere critico, trascurare l aspetto della sicurezza può provocare danni molto gravi. Chi utilizerebbe un applicazione web sapendo che le proprie info riservate sono a rischio? Il comune utente di internet non conosce i rischi, ma lo sviluppatore si! La soluzione: prevenire è meglio che curare. Simona Ullo (UniCT) Attacchi alle applicazioni web 4 / 25
9 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25
10 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25
11 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25
12 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25
13 Introduzione Vulnerabilità delle applicazioni web Vulnerabilità Applicazioni web vulnerabili Spesso i siti web si definiscono sicuri in quanto impiegano la tecnologia SSL... sbagliato! Esistono molte altre vulnerabilità sfruttabili da un attaccante che non hanno a che fare con SSL... nel sistema di autenticazione degli utenti nel sistema di controllo degli accessi e poi nell applicazione in sé stessa: code injection. Simona Ullo (UniCT) Attacchi alle applicazioni web 5 / 25
14 Introduzione Vulnerabilità delle applicazioni web Introduzione La code injection Simona Ullo (UniCT) Attacchi alle applicazioni web 6 / 25
15 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25
16 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25
17 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25
18 Introduzione Vulnerabilità delle applicazioni web Code injection La code injection Inserimento di codice malevolo per interferire nel funzionamento di un applicazione web. Il problema: l utente si trova al di fuori del raggio d azione dell applicazione, sono le informazioni che inserisce a determinarne il funzionamento, quindi può inserire informazioni arbitrarie a danno del sistema e può interferire in qualsiasi flusso di dati scambiati tra client e server. Possibili bersagli: parametri dell URL, cookies di sessione, query SQL, form HTML. Obiettivo: dall accesso a dati riservati al possesso del server. Simona Ullo (UniCT) Attacchi alle applicazioni web 7 / 25
19 SQL injection Caratteristiche generali Attacchi alle applicazioni web SQL injection Simona Ullo (UniCT) Attacchi alle applicazioni web 8 / 25
20 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25
21 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25
22 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25
23 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25
24 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25
25 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25
26 SQL injection Caratteristiche generali SQL injection: caratteristiche generali La SQL injection è... Una tecnica di attacco che sfrutta le vulnerabilità dei siti web che si appoggiano a database SQL. Consiste nell alterazione delle query SQL mediante la manipolazione delle info fornite in ingresso all applicazione. È un attacco cross-platform, indipendente dal DBMS. I bersagli... Tutte le applicazioni web che sfruttano pagine dinamiche, con parametri trasmessi tramite URL. Le pagine web contenenti form HTML per l inserimento dei dati (in particolare form di ricerca). Test di vulnerabilità: generando un messaggio d errore del server o con blind SQL injection. Obiettivo: verificare che non vi sia alcun filtraggio dell input. Simona Ullo (UniCT) Attacchi alle applicazioni web 9 / 25
27 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
28 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
29 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
30 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
31 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
32 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
33 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
34 SQL injection Principali vulnerabilità e possibili attacchi Le vulnerabilità alla SQL injection Server SQL vulnerabili se: non effettuano alcun filtraggio dei dati in ingresso, o i filtri sono inadeguati; Possibili attacchi: autenticazione non autorizzata accesso/modifica/cancellazione delle informazioni accesso alla struttura del database utilizzo di una stored procedure è assente un adeguato controllo dei tipi; sono mostrati i messaggi d errore ODBC; contengono vulnerabilità nella loro stessa implementazione (mysql real escape string()). Simona Ullo (UniCT) Attacchi alle applicazioni web 10 / 25
35 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
36 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
37 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
38 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
39 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
40 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
41 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
42 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
43 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
44 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Effettuare un opportuno input sanitizing: escaping dei caratteri dannosi; utilizzo di regular expressions; controllo e casting sui tipi di dato. Configurare correttamente il server: disabilitazione di alcune stored procedures; no alla connessione con privilegi di root; no ai privilegi di amministratore sul sistema; rimozione account inutilizzati e utilizzo di password adeguatamente sicure; messaggi d errore generici; Simona Ullo (UniCT) Attacchi alle applicazioni web 11 / 25
45 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Ricordare che: IDS, firewall e protocolli come SSL non forniscono alcuna protezione dalla SQL injection! Utilizzare tool per rilevare automaticamente eventuali vulnerabilità. Simona Ullo (UniCT) Attacchi alle applicazioni web 12 / 25
46 SQL injection Tecniche di protezione per SQL injection Le contromisure Per evitare attacchi di SQL injection... Ricordare che: IDS, firewall e protocolli come SSL non forniscono alcuna protezione dalla SQL injection! Utilizzare tool per rilevare automaticamente eventuali vulnerabilità. Simona Ullo (UniCT) Attacchi alle applicazioni web 12 / 25
47 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25
48 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25
49 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25
50 SQL injection Esempi di SQL injection Qualche esempio di attacco Test di vulnerabilità: AND 1=1 Login non autorizzato: SELECT * FROM utenti WHERE nome = a OR b = b AND password = a OR b = b Cancellazione tabelle: SELECT * FROM utenti WHERE nome = a ; DROP TABLE utenti -- Operatore UNION: SELECT titolo, descrizione FROM libri WHERE autore = Smith UNION SELECT username, psw FROM utenti Simona Ullo (UniCT) Attacchi alle applicazioni web 13 / 25
51 SQL injection Esempi di SQL injection Qualche esempio di attacco Uso di stored procedure: ; exec master..xp cmdshell notepad.exe -- Uso dei messaggi ODBC: Ottenuto iniettando semplicemente la clausola having 1=1 Microsoft OLE DB Provider for ODBC Drivers error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server] Column utenti.id is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. Simona Ullo (UniCT) Attacchi alle applicazioni web 14 / 25
52 SQL injection Esempi di SQL injection Qualche esempio di attacco Uso di stored procedure: ; exec master..xp cmdshell notepad.exe -- Uso dei messaggi ODBC: Ottenuto iniettando semplicemente la clausola having 1=1 Microsoft OLE DB Provider for ODBC Drivers error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server] Column utenti.id is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. Simona Ullo (UniCT) Attacchi alle applicazioni web 14 / 25
53 Cross-Site Scripting Caratteristiche generali Attacchi alle applicazioni web Cross-site Scripting Simona Ullo (UniCT) Attacchi alle applicazioni web 15 / 25
54 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25
55 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25
56 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25
57 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25
58 Cross-Site Scripting Caratteristiche generali XSS: caratteristiche generali Il cross-site scripting è... una forma di code injection che inietta specifici tag HTML o codice JavaScript malevolo all interno di un applicazione web; Riguarda contenuti dinamici e non (HTML injection); Forza il browser all esecuzione di codice malevolo, contenuto nella pagina web cui l utente accede; Test di vulnerabilità: visualizzazione di semplici alert con tag <script>; Stessi obiettivi della SQL injection: accesso a dati riservati, controllo del server o della intranet, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 16 / 25
59 Cross-Site Scripting Caratteristiche generali Tipi di attacchi XSS Tipologie di XSS XSS persistente: codice memorizzato sul server permanentemente, chiunque acceda alla pagina subisce l attacco; XSS non persistente o riflesso: codice non permanente inserito in un link ad-hoc, la vittima deve cliccarci per subire l attacco ( spamming, ing. sociale); XSS DOM-based: XSS non persistente, codice malevolo salvato nel DOM della pagina web, basato sempre su link ad-hoc. Simona Ullo (UniCT) Attacchi alle applicazioni web 17 / 25
60 Cross-Site Scripting Caratteristiche generali Tipi di attacchi XSS Tipologie di XSS XSS persistente: codice memorizzato sul server permanentemente, chiunque acceda alla pagina subisce l attacco; XSS non persistente o riflesso: codice non permanente inserito in un link ad-hoc, la vittima deve cliccarci per subire l attacco ( spamming, ing. sociale); XSS DOM-based: XSS non persistente, codice malevolo salvato nel DOM della pagina web, basato sempre su link ad-hoc. Simona Ullo (UniCT) Attacchi alle applicazioni web 17 / 25
61 Cross-Site Scripting Caratteristiche generali Tipi di attacchi XSS Tipologie di XSS XSS persistente: codice memorizzato sul server permanentemente, chiunque acceda alla pagina subisce l attacco; XSS non persistente o riflesso: codice non permanente inserito in un link ad-hoc, la vittima deve cliccarci per subire l attacco ( spamming, ing. sociale); XSS DOM-based: XSS non persistente, codice malevolo salvato nel DOM della pagina web, basato sempre su link ad-hoc. Simona Ullo (UniCT) Attacchi alle applicazioni web 17 / 25
62 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25
63 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25
64 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25
65 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25
66 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25
67 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25
68 Cross-Site Scripting Attacchi XSS XSS: possibili attacchi Attacchi di cross-site scripting: Accesso ai cookie di sessione della vittima; Accesso alla cronologia con attacchi brute-force basati su proprietà contenute nel DOM; Accesso alla intranet: Tramite link ad-hoc l utente esegue uno script che ne cattura l IP interno; L attaccante può accedere da remoto tramite l IP, alla rete interna; Identifica i web server attivi nella intranet col test su IP dinamici nel range d indirizzi privati; Accede ad informazioni riservate o ai dispositivi di rete come firewall, router, etc. Simona Ullo (UniCT) Attacchi alle applicazioni web 18 / 25
69 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
70 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
71 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
72 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
73 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
74 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
75 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
76 Cross-Site Scripting Tecniche di protezione da attacchi XSS XSS: Contromisure Per evitare attacchi XSS... Protezione lato server: input sanitizing e input blocking. Attenzione: molti server sono vulnerabili ad XSS! Protezione lato client: Il browser è fatto in modo da eseguire richieste: non sa distinguere un attacco! Scelta di un browser più sicuro ; Rendere sicuro il browser: plug-in anti-phishing, controllo script, protezione di cronologia e cache, etc. Rendere sicuro il browser: disabilitare caratteristiche pericolose (JavaScript, ActiveX, etc.) ed abilitarle all occorrenza. Per XSS non persistente: attenzione agli URL non fidati! Simona Ullo (UniCT) Attacchi alle applicazioni web 19 / 25
77 Cross-Site Scripting Esempi di attacchi XSS Qualche esempio di attacco XSS Test di vulnerabilità con messaggio di alert (XSS non persistente in un form di ricerca) <FORM action = \ "> <INPUT type = \text " name = \search " value = \"> <script> alert( XSS%20Test ) </script> <INPUT type = \submit " value = \Submit "> </FORM> Accesso ai cookies di sessione (XSS persistente in un forum) ><script language = \javascript "> document.location.href = \ value = " + document.cookie; </script> Simona Ullo (UniCT) Attacchi alle applicazioni web 20 / 25
78 Cross-Site Scripting Esempi di attacchi XSS Qualche esempio di attacco XSS Test di vulnerabilità con messaggio di alert (XSS non persistente in un form di ricerca) <FORM action = \ "> <INPUT type = \text " name = \search " value = \"> <script> alert( XSS%20Test ) </script> <INPUT type = \submit " value = \Submit "> </FORM> Accesso ai cookies di sessione (XSS persistente in un forum) ><script language = \javascript "> document.location.href = \ value = " + document.cookie; </script> Simona Ullo (UniCT) Attacchi alle applicazioni web 20 / 25
79 Paros Proxy Cos è Paros? Verifica delle vulnerabilità Paros Proxy Simona Ullo (UniCT) Attacchi alle applicazioni web 21 / 25
80 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25
81 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25
82 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25
83 Paros Proxy Cos è Paros? Paros Proxy: un esempio di pen tester Paros Proxy è... Software freeware e opensource sviluppato in Java; Server proxy che può essere configurato per filtrare tutto il traffico HTTP/HTTPS in una comunicazione client/server; Utilizzato per l analisi della sicurezza nelle applicazioni web; Varie funzionalità tra cui vulnerability scanner per SQL injection e Cross-site scripting. Simona Ullo (UniCT) Attacchi alle applicazioni web 22 / 25
84 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25
85 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25
86 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25
87 Paros Proxy Un esempio di scansione con Paros Scansione con Paros Per avviare una scansione bisogna: Configurare il browser per la connessione al proxy alla porta 8080 (traffico HTTP); Navigare le pagine del sito che devono essere analizzate; Settare le politiche di scansione (quali vulnerabilità testare); Avviare la scansione e visionare i risultati in formato HTML. Simona Ullo (UniCT) Attacchi alle applicazioni web 23 / 25
88 Paros Proxy Risultati della scansione Un esempio di scansione con Paros Esempio di report prodotto da Paros in seguito ad una scansione per vulnerabilità di SQL injection: Simona Ullo (UniCT) Attacchi alle applicazioni web 24 / 25
89 Paros Proxy Risultati della scansione Un esempio di scansione con Paros Esempio di report prodotto da Paros in seguito ad una scansione per vulnerabilità XSS: Simona Ullo (UniCT) Attacchi alle applicazioni web 25 / 25
19. LA PROGRAMMAZIONE LATO SERVER
19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici
Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti
Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione
TeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica. Simona Ullo
UNIVERSITÀ DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Simona Ullo ATTACCHI ALLE APPLICAZIONI WEB: SQL INJECTION E CROSS SITE SCRIPTING (XSS) Tesina di Sicurezza
Come funziona il WWW. Architettura client-server. Web: client-server. Il protocollo
Come funziona il WWW Il funzionamento del World Wide Web non differisce molto da quello delle altre applicazioni Internet Anche in questo caso il sistema si basa su una interazione tra un computer client
Programmazione Web. Laboratorio 4: PHP e MySQL
Programmazione Web Laboratorio 4: PHP e MySQL Lavagna elettronica (I) Un unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi
Bibliografia: Utenti e sessioni
Bibliografia: Utenti e sessioni http: protocollo stateless http si appoggia su una connessione tcp e lo scambio nel contesto di una connessione si limita a invio della richiesta, ricezione della risposta.
Esempio Cookie Policy
Esempio Cookie Policy INFORMATIVA ESTESA SULL USO DEI COOKIE Uso dei cookie cascinaladoria.it o il Sito utilizza i Cookie per rendere i propri servizi semplici e efficienti per l utenza che visiona le
TeamPortal. Infrastruttura
TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal
Laboratorio di reti II: Problematiche di sicurezza delle reti
Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza
Obiettivi d esame PHP Developer Fundamentals on MySQL Environment
Obiettivi d esame PHP Developer Fundamentals on MySQL Environment 1.0 Ambiente di sviluppo 1.1 Web server e database MySQL Comprendere la definizione dei processi che si occupano di fornire i servizi web
--- PREMESSE INTRODUZIONE. .:luxx:.
SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
Sophos Computer Security Scan Guida di avvio
Sophos Computer Security Scan Guida di avvio Versione prodotto: 1.0 Data documento: febbraio 2010 Sommario 1 Software...3 2 Cosa fare...3 3 Preparazione per la scansione...3 4 Installazione del software...4
penetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
Indice generale. Capitolo 3 Introduzione a PHP...43 Sintassi e istruzioni di base... 45 Variabili, operatori e commenti... 47 Array...
Prefazione...xiii A chi si rivolge il libro... xiv Struttura e contenuti del libro... xiv Dove trovare aiuto... xvii Le newsletter di SitePoint... xviii I vostri commenti... xviii Convenzioni adottate
Lezione 1 Introduzione
Lezione 1 Introduzione Ingegneria dei Processi Aziendali Modulo 1 Servizi Web Unità didattica 1 Protocolli Web Ernesto Damiani Università di Milano I Servizi Web Un Servizio Web è un implementazione software
LA GESTIONE DELLE VISITE CLIENTI VIA WEB
LA GESTIONE DELLE VISITE CLIENTI VIA WEB L applicazione realizzata ha lo scopo di consentire agli agenti l inserimento via web dei dati relativi alle visite effettuate alla clientela. I requisiti informatici
Esercizi di JavaScript
Esercizi di JavaScript JavaScript JavaScript é un linguaggio di programmazione interpretato e leggero, creato dalla Netscape. E' presente a patire da Netscape 2 in tutti i browser ed é dunque il linguaggio
Navigazione automatica e rilevazione di errori in applicazioni web
Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare
Database e reti. Piero Gallo Pasquale Sirsi
Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente
Sicurezza delle applicazioni web: attacchi web
Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Sicurezza delle applicazioni web: attacchi web Alessandro Reina Aristide Fattori
Siti interattivi e dinamici. in poche pagine
Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata
RELAZIONE PROGETTO DATABASE GESTIONE BIBLIOTECA PERSONALE
RELAZIONE PROGETTO DATABASE GESTIONE BIBLIOTECA PERSONALE Mameli Salvatore-M01/000153 SOMMARIO 1 INTRODUZIONE 1.1 Project Overview 1.2 Ambiente del prodotto 1.3 Document Overview 2 - PROGETTAZIONE 2.1
PRIVACY POLICY DEL SITO WEB
PRIVACY POLICY DEL SITO WEB Via Cola di Rienzo, 243 I - 00192 ROMA Tel. +39 06.97614975 Fax +39 06.97614989 www.aido.it aidonazionale@aido.it C.F. 80023510169 TRATTAMENTO DEI DATI PERSONALI DEGLI UTENTI
INFORMATIVA ESTESA SULL USO DEI COOKIE
INFORMATIVA ESTESA SULL USO DEI COOKIE Uso dei cookie cantiwinestyle.com o il Sito utilizza i Cookie per rendere i propri servizi semplici e efficienti per l utenza che visiona le pagine di cantiwinestyle.com
McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report
McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5
SDD System design document
UNIVERSITA DEGLI STUDI DI PALERMO FACOLTA DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA INFORMATICA TESINA DI INGEGNERIA DEL SOFTWARE Progetto DocS (Documents Sharing) http://www.magsoft.it/progettodocs
Access. P a r t e p r i m a
Access P a r t e p r i m a 1 Esempio di gestione di database con MS Access 2 Cosa è Access? Access e un DBMS che permette di progettare e utilizzare DB relazionali Un DB Access e basato sui concetti di
EUROCONSULTANCY-RE. Privacy Policy
Privacy Policy EUROCONSULTANCY-RE di Concept Design 95 Ltd Registered in England - Co. Reg. no. 3148248 - VAT no.690052547 (GB) No. Iscrizione Camera di Commercio di Milano (REA) 1954902 Codici Fiscale
DOCFINDERWEB SERVICE E CLIENT
DOCFINDERWEB SERVICE E CLIENT Specifiche tecniche di interfacciamento al Web Service esposto da DocPortal Versione : 1 Data : 10/03/2014 Redatto da: Approvato da: RICCARDO ROMAGNOLI CLAUDIO CAPRARA Categoria:
In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
LE POLICY SULLA PRIVACY DI QUESTO SITO PERCHE QUESTO AVVISO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
sito web sito Internet
Siti Web Cos è un sito web Un sito web o sito Internet è un insieme di pagine web correlate, ovvero una struttura ipertestuale di documenti che risiede, tramite hosting, su un web server e accessibile
Sicurezza delle applicazioni web: attacchi web
Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: attacchi web Alessandro Reina, Aristide Fattori 12 Maggio
Corso di Informatica. Prerequisiti. Modulo T3 B3 Programmazione lato server. Architettura client/server Conoscenze generali sui database
Corso di Informatica Modulo T3 B3 Programmazione lato server 1 Prerequisiti Architettura client/server Conoscenze generali sui database 2 1 Introduzione Lo scopo di questa Unità è descrivere gli strumenti
INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it
INFORMATION TECNOLOGY 3 a cura di Alessandro Padovani padoale@libero.it 1 SICUREZZA DELLE INFORMAZIONI Le politiche di sicurezza dei dati informatici (che sono spesso il maggior patrimonio di un azienda)
Reti di Telecomunicazione Lezione 7
Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione
Benvenuti. Luca Biffi, Supporto Tecnico Achab supporto@achab.it
Benvenuti Luca Biffi, Supporto Tecnico Achab supporto@achab.it DriveLock: bloccare le applicazioni indesiderate Agenda 3 semplici domande Application control di DriveLock Confronto con Windows 7 Conclusioni
Requisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
Introduzione alla consultazione dei log tramite IceWarp Log Analyzer
Introduzione alla consultazione dei log tramite IceWarp Log Analyzer L Analizzatore di Log è uno strumento che consente un'analisi statistica e logica dei file di log generati dal server. Lo strumento
Guida alla registrazione on-line di un DataLogger
NovaProject s.r.l. Guida alla registrazione on-line di un DataLogger Revisione 3.0 3/08/2010 Partita IVA / Codice Fiscale: 03034090542 pag. 1 di 17 Contenuti Il presente documento è una guida all accesso
Configurazione WAN (accesso internet)
D-Link G624T Per entrare nella configurazione del Router è necessario collegarlo tramite porta Ethernet (di rete). Nelle opzioni di configurazione della scheda di rete, in Protocollo TCP/IP lasciare l
- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?
Perché questo corso - Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Cosa spiegheremo - protocolli e le tecnologie internet - quali sono
[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection
![[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection](/thumbs/24/4020997.jpg "[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection")
---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------
MyFRITZ!, Dynamic DNS e Accesso Remoto
MyFRITZ!, Dynamic DNS e Accesso Remoto 1 Introduzione In questa mini-guida illustreremo come accedere da Internet al vostro FRITZ!Box in ufficio o a casa, quando siete in mobilità o vi trovate in luogo
Individuare Web Shell nocive con PHP Shell
http://www.readability.com/articles/7e9rlg94 html.it ORIGINAL PAGE Individuare Web Shell nocive con PHP Shell Detector by ANDREA DRAGHETTI Una shell Web è uno script, comunemente scritto in PHP, in grado
Manuale per la configurazione di AziendaSoft in rete
Manuale per la configurazione di AziendaSoft in rete Data del manuale: 7/5/2013 Aggiornamento del manuale: 2.0 del 10/2/2014 Immagini tratte da Windows 7 Versione di AziendaSoft 7 Sommario 1. Premessa...
Informativa estesa sull utilizzo dei cookie
Informativa estesa sull utilizzo dei cookie che Gli OPTIMA utenti visiona S.R.L. vedranno le pagine utilizza inserite del i Cookie sito. delle per quantità rendere minime i propri informazioni servizi
Guida ai requisiti di accesso e alla modalità operativa del sistema E.Civis ASP
E.CIVIS HELP Guida ai requisiti di accesso e alla modalità operativa del sistema E.Civis ASP Pag. 1/10 I REQUISITI DI ACCESSO Per utilizzare il sistema E.Civis ASP sono necessari: 1. Un computer con accesso
Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot Spot @ll-in e di programmi per la comunicazione
Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot Spot @ll-in e di programmi per la comunicazione on-line installati sia su dispositivi personali che nelle
PRIVACY POLICY SITO INTERNET
I H A D S.R.L. VIALE CAMPANIA 33 I - 20133 MILANO PRIVACY POLICY SITO INTERNET Tel. +39 029941767 Fax +39 02700506378 www.ihad.it info@ihad.it Cap Soc: 10000 C.F. e P.IVA 04558090967 R.E.A. 1756291 PERCHÉ
Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico
Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico Via Turi, 27 70013 Castellana Grotte (BA) PRIVACY POLICY DEL SITO ISTITUZIONALE
Una metodologia di progettazione di applicazioni web centrate sui dati
Una metodologia di progettazione di applicazioni web centrate sui dati A L B E R T O B E L U S S I A N N O A C C A D E M I C O 2 0 1 1 / 2 0 1 2 Progettazione logica di un sito web centrato sui dati Si
INFORMATICA. Applicazioni WEB a tre livelli con approfondimento della loro manutenzione e memorizzazione dati e del DATABASE.
INFORMATICA Applicazioni WEB a tre livelli con approfondimento della loro manutenzione e memorizzazione dati e del DATABASE. APPLICAZIONI WEB L architettura di riferimento è quella ampiamente diffusa ed
E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI
E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA Ottimizzazione dei processi aziendali Con il modulo E-mail Integrata, NTS Informatica ha realizzato uno strumento di posta elettronica
Base di dati e sistemi informativi
Base di dati e sistemi informativi Una base di dati è un insieme organizzato di dati opportunamente strutturato per lo svolgimento di determinate attività La base di dati è un elemento fondamentale per
DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER
DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono
MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico
MANUALE MOODLE STUDENTI Accesso al Materiale Didattico 1 INDICE 1. INTRODUZIONE ALLA PIATTAFORMA MOODLE... 3 1.1. Corso Moodle... 4 2. ACCESSO ALLA PIATTAFORMA... 7 2.1. Accesso diretto alla piattaforma...
Attacchi alle Applicazioni Web
Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security
Application Assessment Applicazione ARCO
GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946
Sommario. Introduzione Architettura Client-Server. Server Web Browser Web. Architettura a Due Livelli Architettura a Tre Livelli
Sommario Introduzione Architettura Client-Server Architettura a Due Livelli Architettura a Tre Livelli Server Web Browser Web Introduzione La storia inizia nel 1989 Tim Berners-Lee al CERN, progetto WWW
Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)
Architettura del WWW World Wide Web Sintesi dei livelli di rete Livelli di trasporto e inferiori (Livelli 1-4) - Connessione fisica - Trasmissione dei pacchetti ( IP ) - Affidabilità della comunicazione
Al giorno d oggi, i sistemi per la gestione di database
Introduzione Al giorno d oggi, i sistemi per la gestione di database implementano un linguaggio standard chiamato SQL (Structured Query Language). Fra le altre cose, il linguaggio SQL consente di prelevare,
COME CREARE E COLLEGARSI AD UN DATABASE MICROSOFT SQL SERVER O SUN MYSQL
Codice documento 08052301 Data creazione 23/05/2008 Ultima revisione 06/06/2013 Software DOCUMATIC Versione 7 COME CREARE E COLLEGARSI AD UN DATABASE MICROSOFT SQL SERVER O SUN MYSQL Questo documento spiega
ANNO SCOLASTICO: 2014-2015 DISCIPLINA: INFORMATICA CLASSE: 5 SI INDIRIZZO: SISTEMI INFORMATIVI DOCENTI: TISO EMANUELE BARBARA SECCHI
ANNO SCOLASTICO: 2014-2015 DISCIPLINA: INFORMATICA CLASSE: 5 SI INDIRIZZO: SISTEMI INFORMATIVI DOCENTI: TISO EMANUELE BARBARA SECCHI 1 2 ELENCO MODULI ARGOMENTI PRINCIPALI STRUMENTI PERIODO Base di Dati
REOL-Services Quick Reference Ver. 1.1 Tecno Press Srl. 1
In questa semplice guida sono riportate tutte le informazioni relative alla prima registrazione e quelle relative alla configurazione dell ambiente di lavoro per poter utilizzare al meglio la nostra suite
Problematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI
E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA Ottimizzazione dei processi aziendali Con il modulo E-mail Integrata, NTS Informatica ha realizzato uno strumento di posta elettronica
SITI-Reports. Progetto SITI. Manuale Utente. SITI-Reports. ABACO S.r.l.
Progetto SITI Manuale Utente SITI-Reports ABACO S.r.l. ABACO S.r.l. C.so Umberto, 43 46100 Mantova (Italy) Tel +39 376 222181 Fax +39 376 222182 www.abacogroup.eu e-mail : info@abacogroup.eu 02/03/2010
Sicurezza Informatica: Tecniche di SQL INJECTION
Sicurezza Informatica: Tecniche di SQL INJECTION Pietro Bongli Aprile 2004 N.B. L'informazione contenuta in queste pagine è divulgata per scopi puramente didattici e non per ni illegali. Structured Query
Lezione n 1! Introduzione"
Lezione n 1! Introduzione" Corso sui linguaggi del web" Fondamentali del web" Fondamentali di una gestione FTP" Nomenclatura di base del linguaggio del web" Come funziona la rete internet?" Connessione"
Il Web Server e il protocollo HTTP
Corso PHP Parte 2 Il Web Server e il protocollo HTTP E un programma sempre attivo che ascolta su una porta le richieste HTTP. All arrivo di una richiesta la esegue e restituisce il risultato al browser,
Quesiti 6 e 7) - 9 - Creiamo il file query4.php su una piattaforma OPEN SOURCE usando in linguaggio PHP ospitato su un webserver APACHE per interrogare un database MYSQL. Tale file verrà attivato cliccando
Obiettivo dell esercitazione
Database e Web - Esercitazioni ASP - Andrea Proli proliand@csr.unibo.it Laboratorio di Basi di Dati A.A. 2005/2006 Obiettivo dell esercitazione L obiettivo finale dell esercitazione è quello di creare
PostaCertificat@ Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@
PostaCertificat@ Postecom S.p.A. Poste Italiane S.p.A. Telecom Italia S.p.A. Pag. 1/5 LA SICUREZZA DEL SERVIZIO PostaCertificat@ Limitazione delle comunicazioni - il servizio di comunicazione PostaCertificat@
Software di gestione della stampante
Questo argomento include le seguenti sezioni: "Uso del software CentreWare" a pagina 3-11 "Uso delle funzioni di gestione della stampante" a pagina 3-13 Uso del software CentreWare CentreWare Internet
WEBALIZER GUIDA ALLA LETTURA DELLE STATISTICHE
WEBALIZER GUIDA ALLA LETTURA DELLE STATISTICHE Statistiche annuali È la visione delle statistiche più generale disponibile. È composta di un grafico a barre che riassume le statistiche del sito nel corso
Controllo web per endpoint Panoramica
Controllo web per endpoint Panoramica Sophos Web Appliance Sophos Anti-Virus (versione 9.2 o successiva) Sophos Enterprise Console Sophos Endpoint Security and Control Data documento: dicembre 2013 Sommario
ITI M. FARADAY Programmazione modulare a.s. 2014-2015
Indirizzo: INFORMATICA E TELECOMUNICAZIONI Disciplina: Informatica Docente:Maria Teresa Niro Classe: Quinta B Ore settimanali previste: 6 (3 ore Teoria - 3 ore Laboratorio) ITI M. FARADAY Programmazione
La sicurezza nelle comunicazioni Internet
Accesso remoto sicuro a intranet e a server aziendali di posta elettronica Un esempio Cosa ci si deve aspettare di sapere alla fine del corso La sicurezza nelle comunicazioni Internet Esiste un conflitto
Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall
I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della
GERARCHIE RICORSIVE - SQL SERVER 2008
GERARCHIE RICORSIVE - SQL SERVER 2008 DISPENSE http://dbgroup.unimo.it/sia/gerarchiericorsive/ L obiettivo è quello di realizzare la tabella di navigazione tramite una query ricorsiva utilizzando SQL SERVER
TIMESHARK: Uno strumento per la visualizzazione e l analisi delle supertimelines. Relatore: Federico Grattirio
TIMESHARK: Uno strumento per la visualizzazione e l analisi delle supertimelines Relatore: Federico Grattirio Indice: Timeline nelle analisi forensi A cosa servono? Dove posso trovare le informazioni?
Dispensa di database Access
Dispensa di database Access Indice: Database come tabelle; fogli di lavoro e tabelle...2 Database con più tabelle; relazioni tra tabelle...2 Motore di database, complessità di un database; concetto di
Windows XP Istruzioni rete wired per portatili v1.0
Istruzioni rete wired per portatili v1.0 Pagina 1 di 13 Istruzioni rete wired per portatili v1.0 Istruzioni per 1 Introduzione Per seguire le istruzioni qui proposte è necessario utilizzare le utility
Progetto ittorario Anno scol. 2013-2014
PROGETTO ittorario Scopo: Creazione di una pagina web che mostri l orario di un docente, della classe della materia o dell aula a discrezione dell utente. Sviluppatori: Progetto sviluppato dalla classe
INFORMATIVA SUI COOKIE
INFORMATIVA SUI COOKIE La presente Informativa sui cookie descrive l'utilizzo di cookie e altre tecnologie simili all'interno del siti web del Gruppo api, per raccogliere in modo automatico una serie di
Realizzazione di una chat su protocollo HTTP
Università di Pisa Università di Pisa Percorsi Abilitanti Speciali (PAS) Percorsi Abilitanti Speciali (PAS) Realizzazione di una chat su protocollo HTTP Realizzazione di una chat su protocollo HTTP Feo
Web Programming Specifiche dei progetti
Web Programming Specifiche dei progetti Paolo Milazzo Anno Accademico 2010/2011 Argomenti trattati nel corso Nel corso di Web Programming sono state descritti i seguenti linguaggi (e tecnologie): HTML
PROGRAMMAZIONE MODULARE DI INFORMATICA CLASSE QUINTA - INDIRIZZO MERCURIO SEZIONE TECNICO
PROGRAMMAZIONE MODULARE DI INFORMATICA CLASSE QUINTA - INDIRIZZO MERCURIO SEZIONE TECNICO Modulo 1: IL LINGUAGGIO HTML Formato degli oggetti utilizzati nel Web Elementi del linguaggio HTML: tag, e attributi
Il client deve stampare tutti gli eventuali errori che si possono verificare durante l esecuzione.
RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2010/2011 Il progetto consiste nello sviluppo di un applicazione client/server. Sia il server che il client dovranno
PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO
Pag. 1 di 17 VERIFICHE E APPROVAZIONI VERSIONE V01 REDAZIONE CONTROLLO APPROVAZIONE AUTORIZZAZIONE EMISSIONE NOME DATA NOME DATA NOME DATA PRATESI STATO DELLE VARIAZIONI VERSIONE PARAGRAFO O DESCRIZIONE
Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento
I protocolli del livello di applicazione Porte Nelle reti di calcolatori, le porte (traduzione impropria del termine port inglese, che in realtà significa porto) sono lo strumento utilizzato per permettere
ESERCITAZIONE Semplice creazione di un sito Internet
ESERCITAZIONE Semplice creazione di un sito Internet Sistemi e Tecnologie Informatiche - Prof. Gregorio Cosentino 1 Internet Una rete globale che connette milioni di computer in tutto il mondo, anarchica
1. RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2013/2014. 1.1 Lato client
RETI INFORMATICHE - SPECIFICHE DI PROGETTO A.A. 2013/2014 1. RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2013/2014 Il progetto consiste nello sviluppo di un
Tecnologie per il Web. Il web: Architettura HTTP HTTP. SSL: Secure Socket Layer
Tecnologie per il Web Il web: architettura e tecnologie principali Una analisi delle principali tecnologie per il web Tecnologie di base http, ssl, browser, server, firewall e proxy Tecnologie lato client
GUIDA ALLA REGISTRAZIONE DI UN DVR SU www.dyndns.com
GUIDA ALLA REGISTRAZIONE DI UN DVR SU www.dyndns.com Questa breve guida riporta i passi da seguire per registrazione del proprio DVR o telecamera IP su uno dei siti che forniscono il servizio di DNS dinamico
Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.
Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il
NOTE LEGALI E PRIVACY
NOTE LEGALI E PRIVACY L'accesso a questo sito web da parte dei visitatori è soggetto alle seguenti condizioni. Le informazioni, i loghi, gli elementi grafici, le immagini, e quant'altro pubblicato e/o
Impostare il browser per navigare in sicurezza Opzioni di protezione
Impostare il browser per navigare in sicurezza Opzioni di protezione Data la crescente necessità di sicurezza e tutela dei propri dati durante la navigazione in rete, anche gli stessi browser si sono aggiornati,