The quest for secure code



Похожие документы
Architettura MVC-2: i JavaBeans

Siti web centrati sui dati Architettura MVC-2: i JavaBeans

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

GESTIONE INFORMATICA DEI DATI AZIENDALI

Programmazione a Oggetti Modulo B

Corso Analista Programmatore Web PHP Corso Online Analista Programmatore Web PHP

Oggetti Lezione 3. aspetti generali e definizione di classi I

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)

Sistema operativo: Gestione della memoria

Object Oriented Programming

Esercizi su. Funzioni

Università degli Studi di Parma Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica. Ingegneria del Software. La fase di Analisi

Programmazione Orientata agli Oggetti in Linguaggio Java

Esercizio 1: trading on-line

Il documento rappresenta una guida sintetica per descrivere sia la filosofia che il modulo software per l implementazione dei workflow in recuper@2.

Programmazione a Oggetti Lezione 10. Ereditarieta

Progettazione della componente applicativa

Guida alla redazione del Fascicolo XBRL

Inizializzazione, Assegnamento e Distruzione di Classi

Concetto di Funzione e Procedura METODI in Java

Introduzione alla Virtualizzazione

Protezione. Protezione. Protezione. Obiettivi della protezione

Corso di Informatica

Parola chiave extends

Modulo 4: Ereditarietà, interfacce e clonazione

BDX 3D-EDITOR (autore: Marco Bedulli) Scopo del software. Caratteristiche fondamentali. Linguaggi utilizzati. Navigazione 3D

Test di unità con JUnit4

Gestione Turni. Introduzione

Introduzione alla programmazione in C

Indice generale. OOA Analisi Orientata agli Oggetti. Introduzione. Analisi

Concetti di base di ingegneria del software

Introduzione alle basi di dati. Gestione delle informazioni. Gestione delle informazioni. Sistema informatico

Dispensa di Informatica I.1

PROTOTIPAZIONE DI UN TRADUTTORE DA SORGENTE PLC AD ASSEMBLY DI UNA MACCHINA VIRTUALE

Progettazione : Design Pattern Creazionali

12 - Introduzione alla Programmazione Orientata agli Oggetti (Object Oriented Programming OOP)

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

E possibile modificare la lingua dei testi dell interfaccia utente, se in inglese o in italiano, dal menu [Tools

Sistemi Operativi MECCANISMI E POLITICHE DI PROTEZIONE. D. Talia - UNICAL. Sistemi Operativi 13.1

MECCANISMI E POLITICHE DI PROTEZIONE 13.1

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Metodologie di programmazione in Fortran 90

BASI DI DATI per la gestione dell informazione. Angelo Chianese Vincenzo Moscato Antonio Picariello Lucio Sansone

Manuale Utente Amministrazione Trasparente GA

Introduzione alla teoria dei database relazionali. Come progettare un database

Tipi primitivi. Ad esempio, il codice seguente dichiara una variabile di tipo intero, le assegna il valore 5 e stampa a schermo il suo contenuto:

Specifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni

Abstract Data Type (ADT)

Java: Compilatore e Interprete

ALF0021M MANUALE UTENTE MODULO "SETUP"

Proteggiamo il PC con il Firewall di Windows Vista

Soluzione dell esercizio del 2 Febbraio 2004

Programmazione A.A Programmazione Orientata agli Oggetti: Lavorare con gli oggetti ( Lezione XXVII)

!"#$%&&'()#*%+%+!"#$"',,'()#*%+ -")%*&'&'+'$.)+-$$%&&) !"#$%&&'(%)'*+%",#-%"#.'%&'#/0)-+#12"+3,)4+56#7+#.')8'9

Manuale Utente Albo Pretorio GA

Progetto: ARPA Fonte Dati. ARPA Fonte Dati. Regione Toscana. Manuale Amministratore

IPERCA. Il metodo a sei fasi Per gestire con successo progetti, incarichi e situazioni di vita e per accrescere continuamente l esperienza.

Manuale Tecnico Indicazioni tecniche sulle modifiche apportate al Sito WebTelemaco Pratiche

Mon Ami 3000 Centri di costo Contabilità analitica per centri di costo/ricavo e sub-attività

Regione Toscana. ARPA Fonte Dati. Manuale Amministratore. L. Folchi (TAI) Redatto da

MODULO PER LA GESTIONE DEI RESI

Configuration Management

È possibile organizzare corsi e cicli presso la propria sede (Classi on-site)?

Java:Struttura di Programma. Fabio Scanu a.s. 2014/2015

Fondamenti di Informatica PROBLEMI E ALGORITMI. Fondamenti di Informatica - D. Talia - UNICAL 1

Sviluppo e Gestione dei Progetti. docente: Prof. Filippo Ghiraldo f.ghiraldo@bep.co.it

I TUTORI. I tutori vanno creati la prima volta seguendo esclusivamente le procedure sotto descritte.

I file di dati. Unità didattica D1 1

Progettaz. e sviluppo Data Base

FONDAMENTI di INFORMATICA L. Mezzalira

Artifact Centric Business Processes (I)

Introduzione alla Progettazione per Componenti

Sicurezza informatica in azienda: solo un problema di costi?

INFORMATICA 1 L. Mezzalira

Corso di Amministrazione di Sistema Parte I ITIL 1

Una metodologia per la specifica di software basato su componenti

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

SOMMARIO... 3 INTRODUZIONE...

Applicativo Integrato Di Autocontrollo

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

CAPACITÀ DI PROCESSO (PROCESS CAPABILITY)

Il calcolatore oggi : UN SISTEMA DI ELABORAZIONE

Realizzazione di una classe con un associazione

Cosa è un foglio elettronico

Programmazione Orientata agli Oggetti in Linguaggio Java

Programmazione Orientata agli Oggetti in Linguaggio Java

Corso di Informatica

Progettaz. e sviluppo Data Base

Tecniche di Prototipazione. Introduzione

REGISTRAZIONE. Che applicativi devo scegliere per la registrazione all Osservatorio?...2

App-V Dynamic Suite Composition

SISTEMI INFORMATIVI AVANZATI -2010/ Introduzione

PROGETTAZIONE B.I.M.

Programmi e Oggetti Software

Транскрипт:

The quest for secure code Paolo Perego Owasp Italy @eacademy 2006 Security consultant Spike Reply thesp0nge@gmail.com 4-7 Ottobre 2006 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation http://www.owasp.org Agenda Introduzione Cosa devo difendere Application security Come lo difendo Strategie di safe coding Code review Con cosa lo difendo Orizon Conclusioni @eacademy 2006 -Milano, 4-7 Ottobre 2006 2 ff 1

Introduzione All'interno del ciclo di vita del software non ci sono fasi specifiche per la sicurezza Un errore in fase di design comporta un effort crescente se si interviene in fasi successive del ciclo di vita Il team di sviluppo deve essere supportato durante tutte le fasi della scrittura del codice: Prima Durante Dopo @eacademy 2006 -Milano, 4-7 Ottobre 2006 3 Introduzione Specializzare le figure e i team all interno del ciclo di vita di un applicazione Introdurre nuove attività a supportare le fasi classiche del ciclo di vita del software Porre il codice in primo piano Un errore a livello applicativo è un rischio Comprare un firewall non mi aiuterà Avere solide fondamenta Investire nelle fase di analisi e di progettazione @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 2

Agenda Introduzione Cosa devo difendere Application security Come lo difendo Strategie di safe coding Code review Con cosa lo difendo Orizon Conclusioni @eacademy 2006 -Milano, 4-7 Ottobre 2006 5 Cosa devo difendere: Application security Application security!= Network security Un firewall non serve a proteggere le mie applicazioni web Sono coinvolte differenti figure: System adminstrator: hardening del sistema operativo e dell'infrastruttura IT Code reviewer: hardening del codice applicativo Sono coinvolte differenti risorse, non ultimo il core business aziendale @eacademy 2006 -Milano, 4-7 Ottobre 2006 6 ff 3

Cosa devo difendere: Application security Il problema della sicurezza applicativa viene sottovalutato: Rifiuto del problema: la mia applicazione è sicura Gli errori a runtime non sono importanti La sicurezza applicativa viene ricondotta all'attività di penetration test Rimediare dopo un penetration test richiede un effort non paragonabile a quello necessario se si fosse intervenuto subito Il pericolo è quello di non risolvere il problema in favore di soluzioni tampone @eacademy 2006 -Milano, 4-7 Ottobre 2006 7 Agenda Introduzione Cosa devo difendere Application security Come lo difendo Design applicativo Strategie di safe coding Code review Con cosa lo difendo Orizon Conclusioni @eacademy 2006 -Milano, 4-7 Ottobre 2006 8 ff 4

Come lo difendo: design applicativo Le prime fasi del ciclo di sviluppo sono critiche Fase di design Input: il dominio applicativo dove si colloca l'applicazione Output: un modello che individui le parti costitutive del dominio applicativo e le loro connessioni Supportare il team di design significa: Verificare l'applicazione dell'imperativo divide et impera Verificare le connessioni tra le varie componenti @eacademy 2006 -Milano, 4-7 Ottobre 2006 9 Come lo difendo: design applicativo Le parti del modello vengono tradotte nelle componenti reali Fase architetturale: Input: modello del sistema Output: documento infrastrutturale di architettura Supportare l'architetto significa: Verificare che le componenti del sistema non siano ridondate @eacademy 2006 -Milano, 4-7 Ottobre 2006 10 ff 5

Come lo difendo: safe coding (as usual) un codice al 100% sicuro non esiste Esistono però numerosi modi per renderlo sicuro Guideline da seguire durante lo sviluppo Code defensively Fasi di test rigorose Code review Vulnerability assestment @eacademy 2006 -Milano, 4-7 Ottobre 2006 Come lo difendo: safe coding Q: quanto deve essere sicuro il mio codice? A: quanto basta Non devo introdurre meccanismi di protezione che si traducano in una perdita di sicurezza (un sistema troppo complesso di password difficile da seguire per gli utenti) Non devo investire risorse per difendere porzioni di codice non significative o che non trattano dati sensibili @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 6

Come lo difendo: safe coding (Java version) Evitare le inner class Il compilatore traduce le inner class in classi normali accessibili all interno di un package Una inner class ha visibilità su attributi e metodi dichiarati private dalla outer class Per realizzare questo il compilatore cambia lo scope di questi metodi da private a package Oppure Se proprio devo utilizzare delle inner class fare in modo che siano private @eacademy 2006 -Milano, 4-7 Ottobre 2006 Come lo difendo: safe coding (Java version) package org.owasp.safecoding; public class OuterClass { private class InnerClass {... DON T package org.owasp.safecoding; public class OuterClass { class InnerClass {... DO @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 7

Come lo difendo: safe coding (Java version) Non utilizzare il nome della classe per confrontare due oggetti Più oggetti all interno della JVM possono avere lo stesso nome della classe Oggetti possono essere creati ad hoc con un nome di classe legale per soddisfare i miei controlli di uguaglianza Oppure Confronto gli oggetti direttamente senza basarmi sul nome della classe @eacademy 2006 -Milano, 4-7 Ottobre 2006 Come lo difendo: safe coding (Java version) public boolean issameclass(object o) { Class tc = this.getclass(); Class oc = o.getclass(); return (tc.getname() == oc.getname()); DON T public boolean issameclass(object o) { Class tc = this.getclass(); Class oc = o.getclass(); return (tc == oc); DO @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 8

Come lo difendo: safe coding (Java version) Rendo le mie classi non clonabili Impedisco che un attaccante crei nuove istanze di una classe C1 che ho definito Impedisco che un attaccante crei una sottoclasse C2 di C1 implementando per questa java.lang.clonable Ridefinisco il metodo clone() public final Object clone() throws java.lang.clonenotsupportedexception { throw new java.lang.clonenotsupportedexception(); @eacademy 2006 -Milano, 4-7 Ottobre 2006 Come lo difendo: safe coding (Java version) Rendo le mie classi non serializzabili Impedisco l accesso agli stati interni della mia classe impedendo che vi si acceda attraverso una sequenza raw di byte Ridefinisco il metodo writeobject() Lo dichiaro final per impedire un override private final void writeobject(objectinputoutputstream in) throws java.io.ioexception { throw new java.io.ioexception( My class can t be serialized ); @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 9

Come lo difendo: safe coding (Java version) Non dipendere dallo scope del package Voglio impedire che un attaccante aggiunga una classe al mio package ed acquisisca visibilità su quanto dichiarato private Utilizzo il package sealing racchiudendo il mio package all interno di un sealed JAR file. @eacademy 2006 -Milano, 4-7 Ottobre 2006 Come lo difendo: safe coding (Java version) Non restituire puntatori ad oggetti non dichiarati come final o in alternativa clonare tali oggetti prima di restituirne il puntatore private Date fdate;... public Date getdate() { return fdate; DON T public Date getdate() { return new Date(fDate.getTime()); @eacademy 2006 -Milano, 4-7 Ottobre 2006 DO ff 10

Come lo difendo: safe coding (Java version) Definire i metodi, gli attributi e le classi come private Esplicito chiaramente gli oggetti che voglio essere visibili all esterno Definire i metodi, gli attributi e le classi come final Impedisco che quanto dichiarato venga esteso da un attaccante @eacademy 2006 -Milano, 4-7 Ottobre 2006 Code Review Cambiare approccio durante lo sviluppo per aumentare la qualità del codice applicativo sviluppato Defensive programming Extreme programming Agile programming Codice di elevata qualità implica moduli di dimensioni contenute frequenti cicli di test Questi approcci non bastano comunque a garantire che il codice sia conforme a standard di sicurezza elevati @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 11

Code Review Revisionare il codice applicativo implica due approcci distinti: Revisione statica Revisione dinamica Entrambi i due approcci sono composti da: Una fase di test automatizzato per evidenziare problemi evidenti oppure imperfezioni nel design dell applicazione e nella connessione tra moduli differenti Una fase di revisione manuale dove utilizzando i risultati della fase precedente per effettuare controlli più affinati sulla semantica e sull ingegnerizzazione del codice applicativo @eacademy 2006 -Milano, 4-7 Ottobre 2006 Revisione statica Il punto di partenza di una code review è quello di tracciare delle metriche sul codice in esame Queste metriche vengono introdotte da una scienza chiamata Ingegneria del Software La misura della complessità di un modulo software può dare delle informazioni di massima sulla probabilità di errori semantici o di disegno architetturale @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 12

Revisione statica Alcune metriche utili in questa fase sono: Numero di linee di codice Numero di linee di commento Numero di metodi (per i linguaggio OO) Indice di Complessità ciclomatica (calcola il numero di branch decisionali e istruzioni di loop all interno di un flusso di controllo) Indice di manutenibilità secondo lo standard del Software Engineering Institute (SEI) della Carnegie Mellon University Numero di classi Numero di metodi @eacademy 2006 -Milano, 4-7 Ottobre 2006 Revisione statica - tools Effettura una buona fase di Static code review getta le basi per focalizzare l intervento manuale del revisore E possibile automatizzare questa fase di calcolo delle metriche del software attraverso vari strumenti tra i quali: JavaMetrics (http://www.semdesigns.com/products/metrics/javametrics.html ) SmartBear - CodeReviewer (http://www.codehistorian.com/codereviewer-detail.php) M Square Technologies - RMS (http://msquaredtechnologies.com) Jupiter Ecplise Plugin (http://csdl.ics.hawaii.edu/tools/jupiter/) SSW Code Auditor (http://www.ssw.com.au/ssw/codeauditor/) Fortify (http://www.fortifysoftware.com) @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 13

Revisione statica Manual review Utilizzando i risultati dei test automatizzati il focus della revisione verrà diretto verso: Le classi che accettano input dall esterno (form html, connessioni ftp,... ) Le classi che producono output (per evitare race condition o DoS verso la memoria di massa disponibile) Le classi con elevato indice di un numero di cicli e costrutti di controllo. Queste classi sono a prima vista più complesse quindi la probabilità di bug che possono portare ad una security issue sono maggiori Le classi con minor numero di commenti. Queste classi probabilmente sono poco manutenute, occorre quindi che siano testate in maniera più intensiva @eacademy 2006 -Milano, 4-7 Ottobre 2006 Revisione statica Al termine della fase di revisione statica Verranno evidenziate le carenze di disegno e di infrastruttura tra i moduli che compongono l applicazione esaminata Verranno evidenziate le porzioni di codice che sono Difficilmente manutenibili Troppo complesse Ridondanti Verranno proposte delle modifiche da apportare al codice e all infrastruttura per sopperire alle carenze individuate Le modifiche verranno discusse col team di sviluppo in un ottica di confronto costruttivo tra team e revisore @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 14

Revisione dinamica Temporalmente si colloca prima e dopo la fase di revisione statica Va eseguita sui singoli moduli di un applicazione seguendo un approccio divide et impera Consiste nell individuare delle precondizioni e delle postcondizioni che un modulo software deve rispettare Scopo della revisione dinamica del codice è Eseguire il modulo software e verificare che quando le precondizioni sono verificate anche le postcondizioni lo sono Eseguire il modulo software e veridicare che quando le precondizioni non sono verificate la situazione di errore viene gestita in maniera corretta @eacademy 2006 -Milano, 4-7 Ottobre 2006 Revisione dinamica Occorre individuare in maniera efficace le precondizioni al modulo software da testare; in questo modo so calcolare gli input che non sono attesi Il modulo software deve reagire ad input che violano le precondizioni con comportamenti deterministici e che non minino la sicurezza e la stabilità del modulo La revisione dinamica rappresenta una sorta di test funzionale e di collaudo di un modulo software. Automatizzare questa fase è più complesso Richiede la scrittura di un applicativo di test ad hoc che dipende Dalla tecnologia utilizzata Dal tipo di modulo che si sta testando @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 15

Code Review Combinando un approccio di revisione statica ad un approccio di revisione dinamica Aumentiamo il livello di qualità del codice Miglioriamo l ingegnerizzazione dello stesso Miglioriamo la riusabilità e semplifichiamo il codice dei singoli moduli software Verifichiamo tra due sessione di scrittura del codice che il comportamento del modulo rimane coerente @eacademy 2006 -Milano, 4-7 Ottobre 2006 Q&A @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 16

Riferimenti @eacademy 2006 -Milano, 4-7 Ottobre 2006 ff 17

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back