analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO VI - Gli attacchi e il progetto OWASP Figura 64 Conversione del DateTime nelle query SQL Se quindi l’applicazione parte a seguito di un doppio click, il formato della data dipenderà dalle nostre impostazioni internazionali. Nel caso di un web server l’applicazione web tipicamente gira con un utente senza profilo (aspnet, network_service, etc.) per questo vengono utilizzate le impostazioni di ‘default’ che sono quelle scelte da chi ha installato il server e registrate nella chiave di registro HKEY_USERS/.Default/.... La soluzione sbagliata è quella dell’uso della funzione CONVERT del database che interpreta la stringa e la riconverte in data. La soluzione corretta è quella di non far mai avvenire le due conversioni da data a stringa (che avviene di default nell’applicazione) e da stringa a data (che avviene all’interno del database server). Usando i parameters, come nel codice di Talete, non vengono fatte conversioni. Il DateTime viene portato dall’applicazione al webserver nel formato binario nativo, senza trasformazioni in 124
CAPITOLO VI - Gli attacchi e il progetto OWASP stringa con vantaggio sia del programmatore che eviterà i problemi dei separatori, sia del database administrator che eviterà l’uso di CONVERT all’interno delle query, e anche del cliente che avrà un’applicazione più performante. Figura 65 Uso dei parameters con le date Il guadagno in performance non è solo dato dalla mancata doppia conversione. Il vantaggio sta anche nella compilazione della query. Se la stringa della query cambia ogni volta a causa dei parametri, questa dovrà essere ricompilata ogni volta dal database. Se invece la query è parametrizzata, verrà compilata solo la prima volta e le successive esecuzioni saranno molto più performanti. Il performance monitor di Windows (SQL Statistics - SQL Compilations/sec e SQL Re-Compilations/sec) ci rivela in modo lampante questo vantaggio; un esempio del codice di Talete si ha nella classe Concessionario.cs con la proprietà Organizzazioni che ritorna l’elenco di oggetti di tipo Organizzazione che soddisfano la clausola “where”: 125
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
CAPITOLO III - Progettare un’appl
Page 45 and 46:
3.2 Il significato dei design patte
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58:
CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125: 6.2.5 I vantaggi nascosti CAPITOLO
Page 149 and 150: 6.10 Denial of Service CAPITOLO VI
Page 151 and 152: 6.11 Insecure Configuration Managem
Page 153 and 154: CAPITOLO VII - Test per valutare la
Page 155 and 156: 7.1.1 Analisi del codice sorgente C
Page 163 and 164: vulnerabilità critiche di applicaz
Page 165 and 166: • Aggiungere la tecnologia SSL e
Page 167 and 168: Durante questi anni universitari so
Page 169 and 170: M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?