analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO VI - Gli attacchi e il progetto OWASP<br />
Figura 66 Proprietà “Organizzazioni” <strong>della</strong> classe Concessionario<br />
6.2.6 Tentativi <strong>di</strong> SQL Injection in Talete<br />
Per verificare l’effettiva <strong>sicurezza</strong> e protezione <strong>della</strong> piattaforma Talete da attacchi <strong>di</strong> tipo SQL<br />
Injection ho effettuato <strong>una</strong> serie <strong>di</strong> tentativi <strong>di</strong> violazione del database, eseguiti tramite i vari<br />
form d’inserimento <strong>di</strong> cui il sito web <strong>della</strong> piattaforma <strong>di</strong>spone.<br />
Inizio con il valutare i vari tipi <strong>di</strong> risposta che posso ricevere dall’esecuzione <strong>della</strong> pagina; oltre<br />
al caso ovvio e non interessante <strong>di</strong> inserimento corretto e valido dell’input, generalmente<br />
dovrebbero essere forniti messaggi d’avviso da parte <strong>della</strong> pagina web stessa nel caso <strong>di</strong><br />
inserimenti sintatticamente vali<strong>di</strong> ma che non trovano riscontro nelle tabelle utenti contenute<br />
nel database (il classico caso dell’errore <strong>di</strong> <strong>di</strong>gitazione) ed i messaggi d’errore forniti dal web<br />
server in caso <strong>di</strong> non corretta esecuzione <strong>della</strong> query SQL (ovvero quelli causati da inserimenti<br />
“malevoli”). Provo ad introdurre valori casuali nei form e ad avviarne l’esecuzione; anziché<br />
essere mostrati messaggi d’avviso il browser mi visualizza la pagina <strong>di</strong> partenza richiedendo le<br />
credenziali. Provo inoltre ad inserire semplici caratteri che si suppone possano causare un<br />
126