analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO VI - Gli attacchi e il progetto OWASP<br />
coman<strong>di</strong> remoti al sistema; è molto più probabile che riesca solamente a bloccare il servizio,<br />
interrompendo in ogni caso la normale esecuzione del software.<br />
È opportuno ricordare che, con l’avvento delle tecnologie java (JSP) e gli altri linguaggi<br />
interpretati, tale problematica sta lentamente <strong>di</strong>minuendo e lasciando posto nella classifica a<br />
nuove sfide per garantire la <strong>sicurezza</strong>.<br />
6.7 Injection Flaw<br />
Gli attacchi <strong>di</strong> questo tipo agiscono inserendo co<strong>di</strong>ce all’interno dei parametri e possono<br />
causare vari problemi.<br />
Ogni <strong>applicazione</strong> scritta in linguaggi interpretati, o che faccia uso <strong>di</strong> chiamate al sistema per<br />
l’esecuzione <strong>di</strong> programmi esterni, può essere soggetta a questo tipo <strong>di</strong> attacco.<br />
Un esempio tipico è quello <strong>di</strong> un parametro scelto dall’utente ed utilizzato all’interno <strong>di</strong> <strong>una</strong><br />
system call; un utente potrebbe inserire, alla fine del parametro, dei coman<strong>di</strong> in aggiunta a<br />
quelli hardcoded già presenti all’interno dell’<strong>applicazione</strong> (esempio "; rm –rf<br />
/home/"). In casi eclatanti è possibile veicolare dei co<strong>di</strong>ci completi in PHP, Perl o altri<br />
linguaggi, per poi eseguire <strong>di</strong>rettamente il co<strong>di</strong>ce sul server.<br />
Oltre ai linguaggi <strong>di</strong> programmazione le iniezioni possono anche essere <strong>di</strong> co<strong>di</strong>ce SQL, questo<br />
compromette ovviamente la <strong>sicurezza</strong> dei dati.<br />
I suggerimenti per ovviare a questo tipo <strong>di</strong> attacchi sono:<br />
• Evitare <strong>di</strong> accedere a risorse esterne, nei limiti del possibile. Per un gran numero <strong>di</strong><br />
coman<strong>di</strong> shell e per alcune system call, ci sono delle librerie specifiche per ogni<br />
linguaggio in grado <strong>di</strong> eseguire la stessa operazione. L’utilizzo <strong>di</strong> queste librerie non<br />
142