analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO VI - Gli attacchi e il progetto OWASP questo punto il browser esegue una GET o POST della pagina vulnerabile del sito della banca trasmettendo lo script avvelenatore. Come risultato il browser riceve la pagina inquinata dallo script che viene eseguito immediatamente. Lo script, essendo stato scaricato dal dominio del sito della banca, ha accesso al cookie che incautamente custodisce le credenziali per accedere alle operazioni sul conto corrente, e che viene prontamente trasmesso all’hacker. Infine viene subito caricata un’altra pagina per non insospettire l’utente. Di tutta questa operazione l’utente non fa in tempo a vedere il caricamento della pagina della banca in quanto avviene in tempi rapidissimi. Il furto delle credenziali è avvenuto e l’utente con tutta probabilità non si è accorto di nulla. Le vulnerabilità XSS possono essere sfruttare dall’aggressore in molti modi; di seguito sono mostrati alcuni possibili scenari che ne evidenziano la pericolosità: • Session Hijacking: è sicuramente l’utilizzo illecito più comune; in questo modo un aggressore può rubare le credenziali dell’utente e utilizzare l’applicazione con i privilegi di quest’ultimo. Solitamente questo attacco è attuato inviando un semplice script all’interno del sito vulnerabile e forzando l’utente a visitare la pagina che contiene le istruzioni dannose; spesso per convincere la vittima si utilizzano tecniche di social engineering come già descritto. Bisogna tener presente che il codice inserito dall’aggressore viene eseguito dal browser dell’utente come una qualsiasi altra informazione proveniente dal sito visitato: la vittima non si accorgerà di nulla se le istruzioni inserite copiano il token di sessione, presente all’interno dei cookie, e lo inviano verso un sito esterno. Se l’applicazione non controlla la sessione attraverso altri meccanismi, l’aggressore ha quindi tutte le informazioni che servono per impersonificare l’utente. Un attacco leggermente diverso, ma con simili risultati, è quello denominato session fixation: in questo caso l’aggressore richiede un token di sessione valido attraverso una normale richiesta e lo inoltra verso la vittima, creando una "trap session". Alcune applicazioni permettono la definizione di session ID attraverso un’esplicita richiesta presente nell’URL (es: login.php?PHPSESSID=1234), rendendo possibile la 138
CAPITOLO VI - Gli attacchi e il progetto OWASP condivisione del medesimo token di sessione tra utente ed aggressore che può quindi controllare la navigazione. • User Tracking: un altro uso di XSS è quello relativo all’ottenimento di informazioni riguardo la tipologia di visite e di visitatori in un sito web, per poi poter iniziare attività di spamming. • Browser/User exploitation: l’invio di codice dannoso può rendere difficile la navigazione, intervenendo sulle modalità di interazione tra sito ed utente. L’aggressore potrebbe forzare l’apertura di alert box o il reload delle pagine, obbligando l’utente ad interrompere la visita al sito oppure forzando eventuali percorsi di navigazione. • Credentialed Misinformation/Information Dissemination: dal momento che Internet sta assumendo un ruolo importante come mezzo propagandistico, questo ultimo attacco XSS non deve essere trascurato. Attraverso l’invio di script, in esecuzione sul browser, è possibile modificare attivamente il contenuto di un sito e la modalità di presentazione. Le notizie ed i contenuti riportati nelle varie pagine web vulnerabili possono essere cambiati a proprio piacimento, creando disinformazione. Scenari possibili vanno dalle modifiche di alcune notizie all’interno dei giornali online, al cambio di valori nel sito della borsa sino all’inserimento di pubblicità in siti molto frequentati. L’eventualità che un sito contenga una vulnerabilità di questo tipo è estremamente elevata poiché spesso non è semplice filtrare l’input dell’utente: esistono innumerevoli modi per inserire del codice JavaScript all’interno di pagine HTML, molti standard e differenti meccanismi di invio dei dati. Non dobbiamo inoltre dimenticare che parlando di scripting lato client non esiste solo JavaScript ma anche ActiveX(OLE), VBScript, Flash, etc. L’uso di linguaggi interpretati (PHP, Python, Java, Pike, Perl, Ruby, ...) riduce di molto il problema in quanto un errore per compromettere la sicurezza dovrebbe andare a provocare un buffer overflow nella VM. I rimedi sono vari, dal tenere costantemente aggiornato il sistema ed i vari prodotti usati, al controllare ogni input per lunghezza e formato. Tuttavia è molto difficile identificare e rimuovere, da una applicazione web, delle vulnerabilità di XSS. Il modo migliore per riscontrarle è quello di eseguire una revisione del codice ed 139
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
CAPITOLO III - Progettare un’appl
Page 45 and 46:
3.2 Il significato dei design patte
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58:
CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Mentre con AnomynousTemplate si ha:
Page 89 and 90: CAPITOLO IV - La sicurezza nelle we
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 139: CAPITOLO VI - Gli attacchi e il pro
Page 149 and 150: 6.10 Denial of Service CAPITOLO VI
Page 151 and 152: 6.11 Insecure Configuration Managem
Page 153 and 154: CAPITOLO VII - Test per valutare la
Page 155 and 156: 7.1.1 Analisi del codice sorgente C
Page 163 and 164: vulnerabilità critiche di applicaz
Page 165 and 166: • Aggiungere la tecnologia SSL e
Page 167 and 168: Durante questi anni universitari so
Page 169 and 170: M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?