analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO VI - Gli attacchi e il progetto OWASP Questa costituisce la migliore soluzione per fronteggiare la SQL Injection, ma la sicurezza non si costruisce mai su un solo fronte. Oltre a scrivere codice sicuro è fondamentale aggiungere le altre contromisure (citate precedentemente) sulla configurazione del database server. 6.2.4 Proteggersi dalla SQL injection Come si è già accennato, l’unica possibilità di protezione è un controllo sui dati ricevuti da parte del programmatore, durante lo sviluppo del programma. In altre parole, bisogna assicurarsi che l’input ricevuto rispetti le regole necessarie, e questo può essere fatto in diversi modi: - controllare il tipo dei dati ricevuti (se ad esempio ci si aspetta un valore numerico, controllare che l’input sia un valore numerico); - forzare il tipo dei dati ricevuti (se ad esempio ci si aspetta un valore numerico, si può forzare l’input affinché diventi comunque un valore numerico); - filtrare i dati ricevuti attraverso le espressioni regolari (regex); - sostituire i caratteri pericolosi con equivalenti caratteri innocui (ad esempio in entità html); Ovviamente, questi metodi possono essere applicati anche insieme sullo stesso dato in input. La scelta varia a seconda delle tipologie di questi dati. Occorre, quindi, prestare particolare attenzione a tutte le varianti di un input, tenendo conto di ogni possibile (oppure improbabile) ipotesi. 122
6.2.5 I vantaggi nascosti CAPITOLO VI - Gli attacchi e il progetto OWASP Per rendere più “attraente” l’uso dei parameters nei command anche ai più scettici, vediamo adesso quali altri vantaggi ne derivano. Il vantaggio più evidente per lo sviluppatore riguarda i rognosi problemi dei separatori dei decimali, date e ora. Un comando SQL che non fa uso dei parametri deve necessariamente convertire il DateTime in stringa: string str = "select * from orders where OrderDate>" + MyDate.ToString(); Il DateTime internamente non ha cognizione dei separatori, tanto meno del nome, dei giorni o dei mesi. Nel Framework. .NET il DateTime è un numero a 64bit in cui ogni unità rappresenta cento nanosecondi a partire dall’anno zero. In sostanza è un offset da una data convenzionale ed ha una granularità molto bassa che ci permette di rappresentare con esattezza un istante temporale. Il risultato della conversione da DateTime a stringa è relativo a dove viene fatta la conversione. Negli USA la data del 6 Luglio 2005 sarà 7/6/2005, in Italia 06/07/2005 ed in Svizzera 06.07.2005. Questa impostazione deriva dai settaggi internazionali di Windows associati al profilo dell’utente il cui token ha fatto partire il processo della nostra applicazione. 123
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
CAPITOLO III - Progettare un’appl
Page 45 and 46:
3.2 Il significato dei design patte
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58:
CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 123: CAPITOLO VI - Gli attacchi e il pro
Page 149 and 150: 6.10 Denial of Service CAPITOLO VI
Page 151 and 152: 6.11 Insecure Configuration Managem
Page 153 and 154: CAPITOLO VII - Test per valutare la
Page 155 and 156: 7.1.1 Analisi del codice sorgente C
Page 163 and 164: vulnerabilità critiche di applicaz
Page 165 and 166: • Aggiungere la tecnologia SSL e
Page 167 and 168: Durante questi anni universitari so
Page 169 and 170: M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

Create successful ePaper yourself

Delete template?

Save as template?