analisi e gestione della sicurezza di una complessa applicazione ...

CAPITOLO VI - Gli attacchi e il progetto OWASP
application is not impersonating. If the application is impersonating via , the identity will be the anonymous user (typically
IUSR_MACHINENAME) or the authenticated request user.
To grant ASP.NET write access to a file, right-click the file in Explorer, choose "Properties"
and select the Security tab. Click "Add" to add the appropriate user or group. Highlight the
ASP.NET account, and check the boxes for the desired access.
Per difendersi, il principio base è quello di non fornire mai messaggi dettagliati ma, al
contrario, errori generici una volta che la nostra applicazione è online. L’utente non deve
leggere niente di più di quello che gli serve per comprendere lo stato della sua richiesta.
Considerando Talete, se il login è errato, il messaggio di errore è il seguente: “Login non
riuscito. Controlla i dati inseriti e riprova”, che è ben diverso da un messaggio del tipo: “Errore
nella password per l’username xxx”. Quest’ultimo fornisce un’informazione importante e che
bisognerebbe evitare di mostrare, cioè che quell’ username esiste. In questo caso nessuna
informazione tecnica ma, un dato chiaro, che l’utente xxx esiste. All’interno di applicazioni
come questa è possibile enumerare tutti gli utenti, provando poi a forzare eventuali password
deboli.
Una buona prassi è quella di loggare alcune classi di errore – solitamente le più critiche – per
semplificare l’individuazione di errori di implementazione e smascherare eventuali tentativi di
attacco.
145