analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

Conclusioni e sviluppi futuri In questa tesi, inizialmente è stato implementato il sistema di autenticazione della piattaforma Talete, che è un’applicazione Asp.NET per l’erogazione di servizi di consulenza alle imprese; in altre parole è stato gestito il meccanismo di accesso all’applicazione. Considerando le pagine relative all’amministrazione di Talete, sono state analizzate attentamente le varie tipologie di utenti che accedono alla piattaforma e, in base alla categoria di appartenenza, sono state assegnate le giuste autorizzazioni. Quindi l’amministratore può compiere qualsiasi azione sia in lettura (quindi può visualizzare tutti i dati) che in scrittura; il proprietario può visualizzare i dati e gli utenti relativi alla sua organizzazione e può modificarli, e cosi via per tutte le altre categorie di utenti. L’accesso alla piattaforma è permesso solo ad utenti autenticati. Sono stati seguiti i passi previsti dalla “Ingegneria del software”, progettando il meccanismo di autorizzazione con l’ausilio di alcuni diagrammi UML come quello dei casi d’uso e delle classi. In seguito è stato gestito l’accesso alle varie aree (CdG, Qualità, Ambiente, ecc) e applicazioni di Talete creando la pagina delle Autorizzazioni, che permette al proprietario di un’organizzazione e ovviamente all’amministratore, di assegnare i permessi ai propri utenti, “spuntando” le caselle opportune nell’albero che mostra tutte le zone e le pagine di Talete. L’ultima fase del ciclo di vita di un software prevede il testing delle parti sviluppate, che in questo lavoro è stato attuato con la tecnica del black-box testing con cui è stata effettuata un’analisi del comportamento del software basandosi sui risultati degli output ottenuti eseguendo moduli con degli input prestabiliti. Fondamentale, per lo sviluppo e i miglioramenti del codice relativo alle autorizzazioni, è stato il Beta testing, in cui il sistema è stato fornito ad alcuni potenziali utenti che hanno accettato di usarlo per riportare eventuali problemi; ovviamente il Beta testing ha comportato la modifica del sistema e l’aggiunta di ottimizzazioni alla nostra piattaforma. Nell’implementazione del nostro software, fondamentale è la presenza dei design pattern che forniscono soluzioni riutilizzabili nel progetto senza dover ogni volta partire da zero per risolvere uno specifico problema; quelli da me usati sono l’abstract factory, il builder e il template method. Nella seconda parte del lavoro, sono state analizzate tutte le 160
vulnerabilità critiche di applicazioni di questo tipo; in particolare sono state esaminate le vulnerabilità della piattaforma Talete seguendo le linee guida owasp 2.0, e i problemi che potrebbero nascere da una progettazione non sicura di una web application e quindi dalla sua architettura. Per fare questo, è stato usato un tool di Microsoft, il “Threat Analysis & Modeling”, grazie al quale è stata effettuata la modellazione delle minacce; attraverso i reports di questo strumento sono state individuate tutte le possibili vulnerabilità dell’architettura di Talete. Infine, dopo aver adottato tutte le eventuali contromisure agli attacchi e alle vulnerabilità segnalate, sono stati effettuati dei test con un software che ricerca vulnerabilità nelle web applications, il “Web Vulnerability Scanner”; i report del WVS hanno evidenziato che Talete è una piattaforma sicura. Per concludere va detto che la sicurezza assoluta non esiste, cosi come non esiste ad esempio la qualità totale, ma è un qualcosa a cui si può tendere e si deve farlo non applicando una tecnica, poi un’altra e cosi via (criptare i cookie, i parameters), ma creando un percorso a livello architetturale puntando i fari su ogni punto del ciclo di vita del software, come visto con la SDL di Microsoft, e considerando che: 1 un livello di sicurezza del 100% non è raggiungibile, e comunque una strategia in merito alla sicurezza coinvolge diversi processi complessi e non tutti di tipo tecnico nel senso classico del termine. 2 Le organizzazioni devono avere la convinzione di cercare di raggiungere un certo grado di sicurezza e protezione delle applicazioni software. 3 Le aziende devono provvedere alla formazione degli operatori sin dai livelli più bassi. Inoltre nel corso del lavoro, abbiamo visto come nell’ultimo periodo sono stati molti gli incidenti di sicurezza informatica causati da codice mal scritto in applicazioni Web 2.0. Quindi un ulteriore passo avanti potrebbe essere quello di potenziare le tecniche automatizzate o manuali di scansione con solidi meccanismi di individuazione degli errori che potrebbero intaccare il DOM lato client. Potrebbe essere una vera e propria sfida mettere in atto scansioni completamente automatiche per applicazioni Web 2.0, cosa che potrebbe essere risolta usando 161
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
CAPITOLO III - Progettare un’appl
Page 45 and 46:
3.2 Il significato dei design patte
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58:
CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Mentre con AnomynousTemplate si ha:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
CAPITOLO V - La sicurezza nell’ar
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
1 porsi dalla prospettiva dell’at
Page 107 and 108:
Page 109 and 110:
Page 111 and 112: CAPITOLO V - La sicurezza nell’ar
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 149 and 150: 6.10 Denial of Service CAPITOLO VI
Page 151 and 152: 6.11 Insecure Configuration Managem
Page 153 and 154: CAPITOLO VII - Test per valutare la
Page 155 and 156: 7.1.1 Analisi del codice sorgente C
Page 161: CAPITOLO VII - Test per valutare la
Page 165 and 166: • Aggiungere la tecnologia SSL e
Page 167 and 168: Durante questi anni universitari so
Page 169 and 170: M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

Create successful ePaper yourself

Delete template?

Save as template?