Simone Riccetti. Applicazioni web:security by design

Documenti analoghi
La sicurezza delle applicazioni

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Aspetti di sicurezza per l innovazione nel Web

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza

Early Warning. Bollettino VA-IT A

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

The approach to the application security in the cloud space

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Application Security Governance

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Valorizzazione della professionalità di SW Quality Assurance

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

Security policy e Risk Management: la tecnologia BindView

Early Warning Bollettino VA-IT B

IT Service e Asset Management

DigitPA - P@norama sulle tecnologie innovative

Dallo sviluppo all'esercizio: application lifecycle management a 360

Open Source Tools for Network Access Control

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

La sicurezza delle applicazioni

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia

KLEIS WEB APPLICATION FIREWALL

PIANIFICAZIONE DI PROGETTO DI SISTEMI INFORMATIVI

Test e collaudo del software Continuous Integration and Testing

Bollettino VA-IT A

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Secure Code Review: dalla teoria alla pratica

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Bollettino VA-IT A

L innovazione è l utilizzo di nuove idee e opportunità per generare e sostenere la crescita e la profittabilità dell azienda

Application Assessment Applicazione ARCO

IBM Rational AppScan: gestire la sicurezza delle applicazioni e la conformità normativa

Strumenti per la gestione della configurazione del software

TeamPortal. Infrastruttura

IL NAC alla SAPIENZA-NET

La Governance come strumento di valorizzazione dell'it verso il business

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

System & Network Integrator. Rap 3 : suite di Identity & Access Management

MSFT SAM Certified

TeamPortal. Servizi integrati con ambienti Gestionali

Ma il software open source è sicuro?

Alfonso Ponticelli Una gestione ottimale delle utenze privilegiate

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

Rational Unified Process Introduzione

Tracciabilità degli utenti in applicazioni multipiattaforma

Navigazione automatica e rilevazione di errori in applicazioni web

Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Istruzioni di installazione di Intel Utilities

Introduzione all Agile Software Development

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini Monza (MI) Tel sales@intoit.

I I SISTEMI INFORMATIVI INTEGRATI. Baan IV IV - Enterprise e Orgware NOTE

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Security Patch Management

Identity Access Management nel web 2.0

Bollettino VA-IT A

Sicurezza informatica in azienda: solo un problema di costi?

La produzione di un prodotto software certificato Medical Device. Dalla analisi dei rischi alla validazione

Modalità di Attacco e Tecniche di Difesa

LBSEC.

Il cambio di paradigma nell'accesso ai dati attraverso le tecnologie WEB & IT

IL PERFORMANCE MANAGEMENT

Sommario. Oracle Database 10g (laboratorio) Grid computing. Oracle Database 10g. Concetti. Installazione Oracle Database 10g

Stima dell'effort. IT Project Management. Lezione 6 Stima dell effort Federica Spiga. Monitoring del progetto (Earned Value)

Workflow di Test. Valerio Mercanti - ISP0607 1

Catalogo Corsi. Aggiornato il 16/09/2013

IBM UrbanCode Deploy Live Demo

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

Fabrizio Moglia Presidente Venco Computer S.p.A. Fabrizio Cristante Direzione Servizi Software Venco Computer S.p.A.

IT Service Management, le best practice per la gestione dei servizi

DRUPAL CONTINUOUS INTEGRATION. Parte I - Introduzione

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard

LA TEMATICA. Questa situazione si traduce facilmente:

Programmazione Client-Server

ALLEGATO 8.1 DESCRIZIONE PROFILI PROFESSIONALI

Un sistema di identificazione basato su tecnologia RFID

Transcript:

Simone Riccetti Applicazioni web:security by design

Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento di connettività. SOA/Web Services Applicazioni legacy non progettate per essere in rete, sono visibili come servizi. Sistemi Legacy Non sempre supportano le moderne funzionalità di sicurezza (es. Autenticazione) Estensibilità: Il software è sempre più estensibile, es browser plugin, dynamic loadable device driver L estensibilità dei software rende difficile prevederne la superficie di attacco nel tempo Complessità: La complessità delle architetture software è sempre maggiore Nel 1990, Windows 3.1 aveva 2,500,000 linee di codice. Windows XP ha circa 40,000,000 linee di codice. Il numero di bugs è proporzionale al numero di linee di codice

Secure Engineering Una serie di concetti, principi e best practice con l obiettivo di integrare la sicurezza nel software progettato. Riguarda tutte le fasi del ciclo di sviluppo del software Security by Design Security by Implementation Security by Deployment Secure Engineering non riguarda solo la fase di implementazione, ma è un approccio end-to-end

Quanto costa correggere una vulnerabilità? 80% dei costi di sviluppo sono spesi per identificare e correggere gli errori National Institute of Standards & Technology Quando il prodotto è stato rilasciato Durante la fase di coding $25/difetto Durante la fase di build $100/difetto Caper Jones, Applied Software Measurement, 1996 Durante la fase di test $450/difetto $16,000/difetto + Perdita della fiducia del cliente, danni di immagine, etc. * Source: 2008 GBS Industry standard study. Defect cost derived in assuming it takes 8 hrs to find, fix and repair a defect when found in code and unit test. Defect FFR cost for other phases calculated by using the multiplier on a blended rate of $80/hr.

Security Engineering & Software Development Life Cycle Strategia di sicurezza e metriche Security education

Quali sono le cause principali? 1. Requisiti di sicurezza non definiti o poco chiari 2. Implementazione errata di requisiti corretti 3. Nella fase di deployment e configurazione non rispecchia i requisiti e le modalità operative previste

Use Cases e Misuse Cases Oltre agli Use Cases anche i Misuse Cases E importante avere la prospettiva dell attacker Rer: http://www.owasp.org/index.php/testing_guide_introduction

Es. Taint String //... String username = request.getparameter("username"); String password = request.getparameter("password"); //... String query = "SELECT * from tusers where " + "userid='" + username + "' " + "AND password='" + password + "'"; //... ResultSet rs = stmt.executequery(query);

Combinazione dei test di sicurezza Static Analysis Null pointer dereference Threading issues Code quality issues Issues in dead code Insecure crypto functions Issues in back-end application code Stored vulnerabilities Complex SQL injection Vulnerabilità Dynamic Analysis Environment configuration issues Patch level issues Runtime privileges issues Authentication issues Protocol parser/serializer issues Session management issues Issues in external 3rd party web components Cross-site request forgery Malware analysis Dynamic & Static Hybrid Analysis* Client-side issues DOM-based XSS DOM-based Open Redirect HTML5 Notification Phishing HTML5 Client-side SQL Injection Etc. 10 SQL Injection Cross Site Scripting HTTP Response Splitting OS Commanding LDAP Injection XPath Injection Path Traversal Buffer Overflows Format String Issues

IBM Rational AppScan Ecosystem AppScan Enterprise / Reporting Console / Source Ed Core AppScan AppScan Ent. Source Ed for QuickScan (web Developer / client) Remediation Rational Application Developer Rational Software Analyzer (scanning agent) (QA clients) AppScan Source Ed for Automation Rational ClearCase AppScan Tester Ed AppScan Enterprise user (web client) AppScan Standard Ed (desktop) AppScan Source Ed for Security Rational Build Forge Rational Quality Manager Rational ClearQuest / Issue Management CODE BUILD Build security testing into the IDE* Automate Security / Compliance testing in the Build Process QA Security / compliance testing incorporated into testing & remediation workflows IBM Rational Web Based Training for AppScan SECURITY Security & Compliance Testing, oversight, control, policy, audits

Non solo i tool Security Architecture Security Implentation Code review (manuale) Vulnerabilità

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back