analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO IV - La sicurezza nelle web applications Il primo passo nella protezione delle applicazioni web è decidere dove si ha bisogno della sicurezza e ciò che deve proteggere. Per esempio, ci potrebbe essere la necessità di impedire l’accesso a chiunque per proteggere delle informazioni riservate, oppure solamente di rafforzare una subscription policy; altre volte non si ha bisogno di alcun genere di protezione, ma si vuole solo un sistema di login per offrire personalizzazione per visitatori frequenti. Questi requisiti determinano l’approccio e la strategia da usare. La sicurezza non ha bisogno di essere complessa, ma deve essere applicata su larga scala. Per esempio, anche se si costringono gli utenti a loggarsi in una parte del sito, bisogna assicurarsi che le informazioni siano immagazzinate nel database con un account sicuro, con una password che non possa essere indovinata facilmente da un utente sulla rete locale. C’è bisogno di garantire anche che l’applicazione non venga modificata da utenti malintenzionati in modo tale da spedire informazioni private (come attraverso delle query impostate male). Il modello di sicurezza in Asp.NET può essere rappresentato con la seguente figura. Figura 27 Modello di sicurezza in Asp.NET 68
CAPITOLO IV - La sicurezza nelle web applications Come si può notare dalla figura, le richieste web sono passate prima all’IIS (Internet Information Services) che poi le trasferirà all’applicazione Asp.NET (se è una richiesta Asp.NET). È possibile applicare la sicurezza e quindi la sua politica in diverse zone di questo modello. Prima, considerando il processo di richiesta di una pagina web ordinaria (non Asp.NET): 1. IIS prova ad autenticare l’utente. 2. Se IIS autentica con successo l’utente, gli manda l’appropriato file html che è stato richiesto. Mentre una richiesta Asp.NET richiede dei passi addizionali. Il primo e l’ultimo passo sono gli stessi della procedura già vista, ma il processo ha dei livelli intermedi: 1. IIS prova ad autenticare l’utente 2. Se IIS autentica con successo l’utente, esso passa la richiesta ad Asp.NET con ulteriori informazioni sull’utente autenticato. 3. Se Asp.NET autentica l’utente, quest’ultimo può effettuare richieste di pagine .aspx o del servizio web di asmx. Il codice può compiere anche controlli di sicurezza supplementari (per esempio, chiedendo un’altra parola d’ordine prima di permettere una specifica operazione). 4. Quando il codice Asp.NET richiede delle risorse (per esempio, prova ad aprire un file o connettersi ad un db), il sistema operativo compie i suoi controlli di sicurezza. 4.5.1 Autenticazione e autorizzazione in Asp.NET Uno degli scenari più diffusi nelle applicazioni web e al tempo stesso più difficile da gestire, specie con le versioni precedenti di Asp.NET, riguarda l’autenticazione e l’autorizzazione 69
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 69: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 121 and 122:
CAPITOLO VI - Gli attacchi e il pro
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

Create successful ePaper yourself

Delete template?

Save as template?