analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO IV - La sicurezza nelle web applications Dalle statistiche risulta che il numero di vulnerabilità aumenta terribilmente anno dopo anno e lo stesso vale anche per le intrusioni; questo non è dovuto al fatto che si utilizza software più “bacato”, oppure sistemi operativi meno sicuri o apparecchiature più scadenti, ma si può constatare che ci sono sempre più fonti di attacco. Naturalmente il problema che lo sviluppatore non si è mai posto prima, ora comincia a diventare molto importante e da prendere in considerazione da subito nello sviluppo: “la sicurezza deve essere parte integrante di ogni singola fase del ciclo di vita di un’applicazione e deve partire dall’architettura”. 4.2 Evoluzione degli attacchi Perché scrivere codice sicuro? Come dice Gartner (specializzato in ricerche di mercato), gli attacchi si stanno spostando dal livello di rete a quello applicativo (“over 70% of security vulnerabilità exists at the application layer, not network layer”); ad esempio è possibile, con una SQL-injection, bucare una rete robusta penetrando nella DMZ. Oggi viviamo un momento in cui il mirino è puntato soprattutto sulle applicazioni web. Sono queste infatti ad offrire un’appetibile superficie di attacco visto che ogni singola pagina costituisce un potenziale punto di ingresso per l’hacker, alla continua ricerca di una vulnerabilità. Pensare però che la sicurezza si riduca ad una partita sul web è un grosso errore. Tuttavia l’aver rafforzato le barriere sul web sposta necessariamente l’attenzione su tutto il resto e l’attacco dall’interno della lan è una delle attrattive più forti. Basti pensare al classico software gestionale: si può dire esente da problemi di sicurezza perché lavora solo in lan? Certamente no, in quanto le minacce dall’interno di essa sono in continuo aumento, siano essi attacchi consapevoli o inconsapevoli, come quelli veicolati da utenti che scaricano e installano malware da Internet. Quanto danno possono fare i privilegi di un utente 54
CAPITOLO IV - La sicurezza nelle web applications nella lan? Guardando per un attimo il problema solo dal punto di vista applicativo, si può immaginare la possibilità che ha un utente di collegarsi direttamente al database aziendale tramite Access e scrivere dentro le tabelle; purtroppo questa è ancora una realtà troppo diffusa e pericolosissima. La figura seguente ci mostra alcune delle minacce da cui difendersi. Figura 22 Tipi di attacco Tra gli attacchi più comuni a cui è possibile assistere, ci sono quelli provenienti dall’interno, naturale evoluzione dato che le wan diventano sempre più robuste e sicure; oramai c’è una serie di attacchi automatizzati per cui il rischio che ha un’importante azienda è uguale a quello che ha un sito poco visitato in quanto, con questa automazione, i programmi iterano gli indirizzi ip 55
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6: ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8: CAPITOLO I - Introduzione 5
Page 9 and 10: CAPITOLO I - Introduzione tecniche
Page 11 and 12: CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55: 4.1 Introduzione CAPITOLO IV - La s
Page 59 and 60: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 107 and 108:
CAPITOLO V - La sicurezza nell’ar
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116:
6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?