Application Assessment Applicazione ARCO



Documenti analoghi
Application Assessment Applicazione ARCO

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Infrastruttura

Istruzioni operative (v. 1.01) Servizio MB - Mobile Banking Banca Passadore

Wi-Pie Social Network Punti di accesso alla Rete Internet Manuale d'uso

DIPARTIMENTO DI INGEGNERIA MECCANICA E INDUSTRIALE ISTRUZIONI PER L ACCESSO AI CALCOLATORI DEL LABORATORIO CAD DI VIA BRANZE

crazybrain snc Presentazione_VisualFTP.pdf Pag. 1 VisualFTP Presentazione del prodotto Web partner:

Guida all utilizzo di mysm 2.0. Ver 1.0 1

ISTRUZIONI OPERATIVE AGGIORNAMENTO DEL 18/04/2013

Restrizioni di accesso alle risorse Web

VULNERABILITY ASSESSMENT E PENETRATION TEST

TFR On Line PREMESSA

Guida all attivazione ipase

Manuale operatore per l utilizzo dell utente di dominio

SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE

penetration test (ipotesi di sviluppo)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Utilizzo della APP IrriframeVoice. Versione 1.0 maggio 2015

Client - Server. Client Web: il BROWSER

COMUNE DI IMOLA. Portale Servizi Demografici GUIDA ALL'ACCESSO

MANUALE D USO MANUALE D USO

Sistema Gestionale FIPRO. Dott. Enea Belloni Ing. Andrea Montagnani

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

Sistema di gestione Certificato MANUALE PER L'UTENTE

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Soluzioni di strong authentication per il controllo degli accessi

Cup HiWeb. Integrazione dei servizi del CUP Marche in applicativi di terze parti

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

Nella finestra Centro connessioni di rete e condivisione selezionare Gestisci connessioni di rete :

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Università degli Studi di Padova Centro di Calcolo di Ateneo

Come modificare la propria Home Page e gli elementi correlati

Il Wi-Fi per la pubblica amministrazione Location FUN Guglielmo

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

Guida alla registrazione on-line di un DataLogger

Guida di Pro Spam Remove

Guida Rapida di Syncronize Backup

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Fon.Coop Sistema di Gestione dei Piani di Formazione. Manuale per la Registrazione utente nel Nuovo

1. REQUISITI TECNOLOGICI MINIMI

ENTRATEL: Servizio telematico Agenzia delle Entrate

IOL_guidaoperativa_gestione_allegati-1 0.doc 1 INTRODUZIONE ALL USO DELLA GUIDA SIMBOLI USATI E DESCRIZIONI GESTIONE ALLEGATI...

Istruzioni per la configurazione e l utilizzo del proprio dispositivo con il sistema Wi-Fi TM. Guglielmo

Titolo della tesi Testing Black Box di un Web Service : sperimentazione su di un servizio con stato

ali e non funzionali con priorità (high, medium, low) Use Case con un Activity Diagram o uno State Diagr ram

FidelJob gestione Card di fidelizzazione

Guida all utilizzo del web tool di gestione accesso ai Datacenter

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

MANUALE UTENTE Fiscali Free

G S M C O M M A N D E R Duo S

Procedura SMS. Manuale Utente

RELAZIONE PROGETTO DATABASE GESTIONE BIBLIOTECA PERSONALE

Outlook Plugin per VTECRM

SINTESI. Comunicazioni Obbligatorie [COB] Import massivo XML. ver. 1.0 del (ver. COB )

A.S.L. CN2. Manuale Uso software ConcertoWeb (ritiro referti di laboratorio)

Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali. Raccomandazione 1/99

Aruba Sign 2 Guida rapida

per docenti e dirigenti della Scuola trentina a carattere statale Sportello dipendente GUIDA AL SERVIZIO

REVISIONI ottobre 2010 RTI Prima stesura

Prefazione Patente ECDL Patente Europea per la Guida del Computer AICA sette moduli Windows nella versione 7 Internet Explorer nella versione 8

IFInet Secure Webmail

Offerta per fornitura soluzione di strong authentication

SCRUTINI ON-LINE Sistema di gestione degli scrutini in formato elettronico con accesso via web (SissiWeb)

BRC CAR SERVICE CRM Manuale operativo

A39 MONITORAGGIO ALLIEVI WEB REGISTRO INFORMATIZZATO MANUALE OPERATIVO

Manuale Debident. Per accedere al servizio, inserite il nome, il numero cliente e la password che vi è stata assegnata.

Software di parcellazione per commercialisti Ver [10/09/2015] Manuale d uso [del 10/09/2015]

FtpZone Guida all uso

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

Gestione eventi di sistema Gestire correttamente la diagnostica di Windows

Problematiche correlate alla sicurezza informatica nel commercio elettronico

CONFIGURAZIONE DI UN AZIENDA IN MODALITÀ REAL TIME

Procedura Gestione Pratiche Sicurezza Cantiere

BMSO1001. Orchestrator. Istruzioni d uso 02/10-01 PC

Istruzioni operative per gli Incaricati del trattamento dei dati personali

Software Servizi Web UOGA

Centro Servizi Territoriali (CST) Asmenet Calabria

Manuale Helpdesk per utenti

Guida rapida per l utilizzo del servizio OwnCloud-MIUR (versione 1.6)

NOTE LEGALI E PRIVACY

SIMULCAST 2 MANUALE UTENTE

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Firewall e Abilitazioni porte (Port Forwarding)

Manuale Utente PostHello!Xerox

Il Sistema Nazionale di Autovalutazione

Cookies Privacy Policy Società e Salute S.p.A.

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Sistema Informativo Agricoltura

Manuale d uso del portale di controllo per la PEC (NewAgri PEC)

Light CRM. Documento Tecnico. Descrizione delle funzionalità del servizio

ISSA EUROPE PTSOFTWARE 2.0

Firewall applicativo per la protezione di portali intranet/extranet

ASSOCIAZIONE ITALIANA EDITORI

Transcript:

GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 8

Descrizione delle attività L attività ha avuto come oggetto il testing della sicurezza dell applicazione ARCO in due modalità differenti: Black Box: simulando un tentativo d attacco da parte di un intrusore che non sia in possesso di informazioni o credenziali relative all applicazione, sono stati effettuati svariati tentativi di accesso non autorizzato o Login bypass: Sono state utilizzate tecniche come SQL injection, parameter tampering, etc., nel tentativo di accedere all applicazione aggirando il processo di login. o Brute Force: Sono stati utilizzati dei tool automatici allo scopo di individuare delle coppie username/password valide, sulla base di un grosso numero di tentativi d accesso. White Box: simulando il comportamento malizioso di un utente effettivo dell applicazione, sono stati tentati degli attacchi allo scopo di: o Accedere/manipolare direttamente i dati presenti nel back-end applicativo o Incrementare i privilegi a disposizione dell utente o Impersonificare altri utenti dell applicazione Data la mole di componenti applicative presenti, alcune parti di questa attività sono state effettuate avvalendosi di tool di assessment automatici. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 8

Conoscenze pregresse Per la fase di analisi black-box non sono state fornite dal Cliente informazioni pregresse, ad esclusione dell indirizzo del server da analizzare (promotore.rasbank.it). Per la fase di analisi white-box il Cliente ha fornito un utenza di test valida nell ambiente di pre-produzione. Problematiche riscontrate Durante lo svolgimento delle attività sono state incontrate alcune problematiche che hanno rallentato o inficiato l analisi di alcune componenti applicative: Lentezza nelle risposte da parte del server Alcune componenti non risultavano presenti nell ambiente testato (es: Impersonificazione) Presenza di errori applicativi non deterministici (es: login dispositiva) Sicurezza lato server - Risultati In questo paragrafo vengono presentati i risultati relativi all analisi di sicurezza del lato server dell applicazione. E importante evidenziare come nessuno degli attacchi effettuati abbia permesso di accedere all applicazione in maniera non autorizzata o di ottenere privilegi superiori a quelli permessi dal profilo dell utente utilizzato per i test. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 8

- Attacco brute force sul form di login Gli attacchi brute force effettuati su sistemi applicativi diventano efficaci quando si possono effettuare almeno due livello di scrematura, al fine di diminuire le possibili coppie username/password da provare. Il primo livello di scrematura normalmente avviene sullo username. Per questo motivo, dati sensibili come i nomi degli utenti devono essere protetti. Da questo punto di vista ARCO risulta sicuro, utilizzato dei codici interni per identificare gli utenti. Il secondo livello di scrematura avviene sulle password, utilizzando wordlist contenenti le password più comuni per la realtà oggetto dell analisi. ARCO richiedere una password numerica di 8 o 9 cifre: nonostante il campo teorico sia più ristretto rispetto ad una password comprensiva di lettere e simboli, lo sforzo di risorse richiesto all attaccante diventa insostenibile, considerando anche i tempi di risposta rilevati per ogni tentativo di login. - Analisi del trattamento dati in input In applicativi fortemente dinamici e interattivi è necessaria una corretta gestione dell input. Attacchi come SQL-injection e Cross Site Scripting (XSS) possono compromettere la sicurezza di un server se non adeguatamente prevenuti. L applicativo ARCO risulta sicuro da questo punto di vista, effettuando un corretto trattamento anche delle stringhe più insidiose contenenti caratteri speciali (es: ; < > *, etc.). - Sicurezza ed analisi della sessioni stabilite Le sessioni applicative sono identificate e tracciate tramite l utilizzo di cookie. Alcuni sistemi rilasciano dei cookie che possono essere predicibili: avendo cioè a disposizione uno storico dei cookie rilasciati, è possibile prevedere, con buona approssimazione, quali saranno quelli associati alle sessioni successive. In questo modo potrebbe essere possibile impadronirsi della sessione applicativa relativa ad un altro utente. I cookie 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 8

rilasciati dall applicativo ARCO risultano non predicibili, come evidenziato dal seguente grafico. - Gestione degli errori Una gestione dei messaggi d errore corretta incrementa notevolmente la sicurezza di un applicativo. Un attaccante, cercando di causare malfunzionamenti, ha bisogno di riscontri per valutare il proprio operato. L applicativo ARCO redirige sulla pagina di login qualsiasi richiesta HTTP che non vada a buon fine, rendendo di fatto difficile verificare la reale presenza di determinate condizioni d errore o vulnerabilità. Questo rende anche inutilizzabile una parte dei tool automatici di scanning che non è in grado, se non correttamente configurata, di rilevare la redirezione come un errore. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 8

- Analisi sorgente della form di login L analisi del template di login non ha prodotto risultati di rilievo, confermando i risultati dell analisi black-box. Sicurezza lato client - Risultati L analisi effettuata ha messo in evidenza una serie di criticità che potrebbero esporre l utente al rischio di furto d identità qualora l applicazione venisse usata in un ambiente non controllato (es: PC personale utilizzato anche per la normale navigazione internet, postazioni condivise come in un internet cafè, etc.). In questo tipo di contesti il rischio di contrarre infezioni da parte di virus o spyware è particolarmente elevato, e l applicazione non fornisce delle adeguate misure di sicurezza per far fronte a queste minacce. In uno scenario di questo tipo è infatti molto semplice, per un software automatico (es: spyware), catturare credenziali e dati sensibili relativi all applicazione; la mancanza di misure di sicurezza mirate rende inoltre possibile il riutilizzo di questi dati, da parte di uno spyware, per una finestra temporale sufficientemente grande da poter permettere frodi o manomissioni. Modalità di inserimento delle credenziali: Username e password di accesso vengono inseriti in una normale edit box, digitandoli tramite tastiera. Questo rende molto facile la cattura delle credenziali da parte di software di tipo keylogger (componente presente in molti spyware attualmente in circolazione), che registra le sequenze di tasti battute. Utilizzo di credenziali statiche: L uso di password statiche come unica discriminante d accesso rende molto semplice il riutilizzo delle credenziali eventualmente catturate. Nonostante le password possano avere un tempo di validità più o meno lungo, questa finestra temporale è comunque sufficiente ad 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 8

un attaccante per utilizzare le credenziali d accesso all applicazione per compiere frodi o manomissioni. Funzionalità di cambio password: L utente è in grado di cambiare la password di accesso a piacimento. Sebbene il cambio periodico di password possa rappresentare un punto di forza per la sicurezza, permette all utente di impostare password numeriche di banale inferenza (es: date nel formato gg-mm-aaaa). In uno scenario di questo tip, un attacco di tipo brute force (vedere paragrafi precedenti) potrebbe risultare enormemente efficace. Mancata invalidazione dei cookie durante il logout: Anche in seguito alla fase di logout, i cookie utilizzati dall applicazione per tenere traccia delle sessioni non vengono invalidati. In questo modo, un software di tipo spyware che sia stato in grado di intercettare tali cookie, ha a disposizione una finestra temporale più grande per poterli riutilizzare ed accedere all applicazione senza dover fornire credenziali. Inoltre, se in seguito al logout il browser non viene chiuso per qualche motivo, è sufficiente premere il tasto back per rientrare nella sessione applicativa. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 8

Conclusioni finali In seguito all analisi effettuata, la parte server dell applicazione ha denotato un buon livello di sicurezza in rapporto alla criticità delle informazioni trattate. Le principali vulnerabilità rilevate riguardano infatti la sicurezza lato client e l esposizione dell utente al furto di identità (da parte di software malizioso che potrebbe essere installato sul PC dell operatore, qualora esso venga utilizzato in un ambiente non controllato). Sebbene risulti tecnicamente impossibile ottenere un livello di sicurezza assoluto sul client, è possibile implementare una serie di accorgimenti che possono rendere più complicati la cattura e il riutilizzo di credenziali in maniera automatica da parte di uno spyware: Utilizzo di form di login con tastierini numerici (ad esempio scritti in javascript) per l inserimento delle password numeriche. La disposizione dei tasti può essere casuale per impedire ad un software automatico di tracciare il codice digitato. Utilizzo di One Time Password che rendono minime le possibilità di successo di un attacco di tipo brute force e non rendono possibile il riciclo delle credenziali catturate. Corretta gestione della procedura di logout (con invalidamento dei cookies), per non permettere il riciclo di una sessione catturata e per evitare di rendere inutili gli accorgimenti sopra elencati. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 8

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back