analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO VI - Gli attacchi e il progetto OWASP cui specificare tutto quello che l’applicazione può accettare; questa tecnica differisce dalla duale blacklist, in cui invece viene specificato tutto quello che non deve essere accettato. Per valori "non ammissibili" intendiamo degli input che possono generare errori anche a livello funzionale oltre che strettamente legati alla sicurezza. La prima soluzione è sicuramente preferibile in quanto spesso non è possibile definire in maniera precisa cosa scartare; a questo si aggiunge la naturale evoluzione del software che subisce periodicamente modifiche e reingegnerizzazioni. Nel caso in cui il controllo sui valori in ingresso non sia ben implementato, si correrà il rischio di esporre l’applicazione ad una serie di attacchi noti che vanno dal classico SQL injection, al cross site scripting, buffer overflow, format string, e così via. 6.2.1 SQL Injection SQL Injection consiste in un attacco informatico che sfrutta la cattiva abitudine di concatenare le stringhe destinate ad un database server. La concatenazione delle stringhe SQL viene solitamente associata a problemi di sicurezza, ma affligge anche performance e provoca subdoli errori di runtime in relazione ai separatori numerici e delle date. Prendiamo ad esempio la seguente stringa che verrà eseguita come query su un database: "select * from users where name like ‘ " + TextBox1.Text + "%’ " Un utente del web che dovesse cercare "Angelo" causerebbe l’esecuzione della query: "select * from users where name like ‘Angelo%’ " Lo sviluppatore web non ha purtroppo validato il contenuto della TextBox e un hacker potrebbe sfruttare questa vulnerabilità semplicemente inserendo nella casella di testo la stringa: " ‘ or ‘a’ like ‘a " Lo statement SQL risultante dalla concatenazione sarebbe il seguente: 116
CAPITOLO VI - Gli attacchi e il progetto OWASP "select * from users where name like ‘‘ or ‘a’ like ‘a%’ " In sostanza la clausola “where” è sempre vera causando quindi la restituzione del contenuto completo della tabella users. Questo esempio non è che la punta dell’iceberg ed è solo il primo assaggio. Il peggio deve ancora arrivare, ma questo può far riflettere gli sviluppatori poco accorti in quanto, essere vulnerabili a questo tipo di attacco, è palesemente contrario alla normativa vigente in materia di privacy con tutto ciò che ne consegue per legge. Un altro punto interessante è che questo tipo di attacco non è direttamente dipendente dalla tecnologia utilizzata o per dirlo in altri termini è un attacco cross-platform, funziona per esempio su SQL Server, MySQL, Access, Oracle o FireBird, solo per citarne alcuni. Naturalmente l’hacker in alcuni casi dovrà iniettare codice differente in base al database usato, ma nessuno è immune a priori. La vulnerabilità è figlia della stessa natura del linguaggio SQL che è espresso per mezzo di stringhe di testo; le soluzioni definitive esistono, ma purtroppo sono snobbate da molti sviluppatori che sottovalutano la portata di questa vulnerabilità. Fino a che punto una SQL Injection è pericolosa? Niente di meglio che un altro esempio per rispondere a questa domanda, partendo dalla stessa query iniziale: "select * from users where name like ‘ " + TextBox1.Text + "%’ " l’hacker potrebbe scrivere nella TextBox (cioè iniettare) questo codice: che risulterebbe in questa stringa: "‘ ; select * from sys.tables -- " "select * from users where name like ‘‘ ; select * from sys.tables -- ‘ " Questo statement ha tre punti fondamentali. Il primo è il ";" che permette la dichiarazione di due distinte query all’interno di una stessa stringa; il secondo è l’uso di "--" per commentare ciò che resta nella stringa. Non tutti i database permettono l’uso di ";" e/o di "--" ma questo non è altro che uno degli esempi possibili. Il terzo punto è l’uso della view sys.tables di SQL2005. In SQL2000 esiste la tabella sysobjects mentre nel MySQL esiste la tabella INFORMATION_SCHEMA.TABLES, supportata anche da SQL2005. Ancora una volta queste differenze non costituiscono alcun ostacolo per l’attuazione dell’injection. 117
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
CAPITOLO III - Progettare un’appl
Page 45 and 46:
3.2 Il significato dei design patte
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58:
CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117: CAPITOLO VI - Gli attacchi e il pro
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 149 and 150: 6.10 Denial of Service CAPITOLO VI
Page 151 and 152: 6.11 Insecure Configuration Managem
Page 153 and 154: CAPITOLO VII - Test per valutare la
Page 155 and 156: 7.1.1 Analisi del codice sorgente C
Page 163 and 164: vulnerabilità critiche di applicaz
Page 165 and 166: • Aggiungere la tecnologia SSL e
Page 167 and 168: Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

Create successful ePaper yourself

Delete template?

Save as template?