analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO VII - Test per valutare la <strong>sicurezza</strong> <strong>di</strong> Talete<br />
note oppure effettuando l’invio <strong>di</strong> payload ritenuti potenzialmente pericolosi. L’efficacia <strong>di</strong><br />
questi strumenti è ovviamente legata alla base <strong>di</strong> conoscenza: più questa risulta aggiornata e<br />
personalizzata, migliori saranno i risultati. Generalmente questi software sono molto semplici<br />
da utilizzare poiché non richiedono ness<strong>una</strong> interazione da parte dell’utente. L’atten<strong>di</strong>bilità dei<br />
report finali <strong>di</strong>pende notevolmente dal genere <strong>di</strong> <strong>applicazione</strong> che si sta testando: mentre i siti<br />
web statici sono facilmente analizzabili dagli spider usati all’interno <strong>di</strong> questi tool, non si può<br />
<strong>di</strong>re lo stesso per le applicazioni che fanno largo uso <strong>di</strong> JavaScript, Ajax, Flash, form <strong>di</strong><br />
autenticazione e percorsi <strong>di</strong> navigazione che richiedono <strong>una</strong> costante interazione con l’utente.<br />
Purtroppo, per la natura stessa dell’<strong>analisi</strong>, è impossibile identificare precisamente dove<br />
effettivamente risiedono gli errori segnalati, lasciando agli sviluppatori l’ingrato compito <strong>di</strong><br />
scovare tali bug all’interno del co<strong>di</strong>ce.<br />
7.1.3 Altri strumenti<br />
Oltre alle categorie segnalate esistono certamente altre tipologie <strong>di</strong> strumenti: gli strumenti <strong>di</strong><br />
<strong>analisi</strong> su dati binari cercano <strong>di</strong> scovare falle <strong>di</strong> <strong>sicurezza</strong> all’interno <strong>di</strong> applicativi binari<br />
prevalentemente in C e C++; i database scanner replicano l’interazione tra client e server SQL<br />
in maniera da poter inviare delle query per testare la configurazione dei DBMS (procedure,<br />
utenti, ruoli, privilegi) oltre ad effettuare l’invio <strong>di</strong> classiche stringhe riconducibili a potenziali<br />
attacchi <strong>di</strong> SQL Injection; i configuration scanner operano dei test sulle configurazioni <strong>di</strong> web<br />
applications e web server per segnalare configurazioni erronee o impostazioni <strong>di</strong> default<br />
pericolose.<br />
154