analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO VII - Test per valutare la sicurezza di Talete note oppure effettuando l’invio di payload ritenuti potenzialmente pericolosi. L’efficacia di questi strumenti è ovviamente legata alla base di conoscenza: più questa risulta aggiornata e personalizzata, migliori saranno i risultati. Generalmente questi software sono molto semplici da utilizzare poiché non richiedono nessuna interazione da parte dell’utente. L’attendibilità dei report finali dipende notevolmente dal genere di applicazione che si sta testando: mentre i siti web statici sono facilmente analizzabili dagli spider usati all’interno di questi tool, non si può dire lo stesso per le applicazioni che fanno largo uso di JavaScript, Ajax, Flash, form di autenticazione e percorsi di navigazione che richiedono una costante interazione con l’utente. Purtroppo, per la natura stessa dell’analisi, è impossibile identificare precisamente dove effettivamente risiedono gli errori segnalati, lasciando agli sviluppatori l’ingrato compito di scovare tali bug all’interno del codice. 7.1.3 Altri strumenti Oltre alle categorie segnalate esistono certamente altre tipologie di strumenti: gli strumenti di analisi su dati binari cercano di scovare falle di sicurezza all’interno di applicativi binari prevalentemente in C e C++; i database scanner replicano l’interazione tra client e server SQL in maniera da poter inviare delle query per testare la configurazione dei DBMS (procedure, utenti, ruoli, privilegi) oltre ad effettuare l’invio di classiche stringhe riconducibili a potenziali attacchi di SQL Injection; i configuration scanner operano dei test sulle configurazioni di web applications e web server per segnalare configurazioni erronee o impostazioni di default pericolose. 154
CAPITOLO VII - Test per valutare la sicurezza di Talete Strumenti come quelli presentati di seguito possono però affiancare l’esperto nello svolgimento dell’auditing, oltre ad assistere gli sviluppatori nelle fasi iniziali del progetto al fine di determinare gli errori più banali. Il tool usato è un prodotto commerciale dell’azienda Acunetix chiamato Web Vulnerabilty Scanner che ricerca comuni vulnerabilità che affliggono i web server ed a livello applicativo simula situazioni di attacco alla ricerca di falle di sicurezza. Permette l’analisi delle dieci vulnerabilità critiche individuate da OWASP oltre a numerose altre; interessante il supporto legato alle nuove tecnologie del web (XML/SOAP Test, XPath Injection) e la buona capacità di riconoscimento di XSS. 7.2 “Web Vulnerability Scanner” Prima di iniziare la scansione col WVS è presente uno scan wizard che ci permette di: • Selezionare il target 155
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
CAPITOLO III - Progettare un’appl
Page 45 and 46:
3.2 Il significato dei design patte
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58:
CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Mentre con AnomynousTemplate si ha:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
CAPITOLO V - La sicurezza nell’ar
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 107 and 108: CAPITOLO V - La sicurezza nell’ar
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 149 and 150: 6.10 Denial of Service CAPITOLO VI
Page 151 and 152: 6.11 Insecure Configuration Managem
Page 153 and 154: CAPITOLO VII - Test per valutare la
Page 155: 7.1.1 Analisi del codice sorgente C
Page 163 and 164: vulnerabilità critiche di applicaz
Page 165 and 166: • Aggiungere la tecnologia SSL e
Page 167 and 168: Durante questi anni universitari so
Page 169 and 170: M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

Create successful ePaper yourself

Delete template?

Save as template?