analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

1.1 Obiettivo del lavoro CAPITOLO I - Introduzione Contemporaneamente all’enorme crescita di Internet, è stato possibile registrare un enorme cambiamento delle applicazioni informatiche che stanno diventando sempre più interconnesse tra loro. Fino a qualche tempo fa, i PC erano di solito delle “isole” di funzionalità, con poca, se non nulla, interconnessione e quindi non era un grosso problema se un’applicazione era insicura, l’importante era che svolgesse la sua mansione con successo; per questo l’argomento sicurezza non era assolutamente al centro dei pensieri di uno sviluppatore. Ormai i tempi sono cambiati. Nell’era di Internet, virtualmente tutti i computer – server, desktop PC, e i più recenti dispositivi tascabili – sono interconnessi tra loro. Sebbene questo crea notevoli possibilità di sviluppo per le aziende e per gli sviluppatori software, d’altra parte fa pensare anche che queste macchine interconnesse possano essere attaccate; Internet è un ambiente “ostile” e quindi bisogna progettare tutto il codice per difendersi dalle minacce. In pratica quest’apertura al mondo attraverso il web porta con sé l’inevitabile conseguenza di una maggiore vulnerabilità. Infatti, oltre agli utenti previsti per le applicazioni, è naturale entrare in contatto con utenti che abusano di esse per fini diversi da quelli per cui sono state progettate. E’ necessario, dunque, proteggere il patrimonio informativo di un’azienda o di un ente pubblico da tutta una serie di aggressioni ed abusi. Da anni si registra un incremento costante degli attacchi alle architetture web-based tanto da costituirne oggi la modalità privilegiata. Dagli inizi del 2003 la maggior parte degli attacchi viene messa a segno utilizzando vulnerabilità legate ad errori di configurazione delle applicazioni o a fattori intrinseci. La diversificazione e tutte le combinazioni possibili rendono questi attacchi sempre più efficaci e diffusi; un attacco può andare a compromettere una qualsiasi delle componenti di un’architettura web, firewall di protezione perimetrale, webserver, middleware, applicativi, database e inoltre coinvolge diversi attori (sistemista, programmatore), chi attivamente chi inconsapevolmente e soprattutto l’utente finale. Ma perché sviluppare pensando da subito alla sicurezza? Alla domanda si cercherà di rispondere con questo lavoro in cui, oltre all’analisi delle varie problematiche che riguardano la sicurezza delle applicazioni web seguendo le linee guida owasp 2.0, sono state applicate alcune 6
CAPITOLO I - Introduzione tecniche e metodologie di protezione nello sviluppo di una piattaforma di nome “Talete” per ridurre notevolmente i punti d’attacco e le falle che potrebbero causare l’insuccesso di essa. Questo lavoro è diviso in 2 parti, sostanzialmente entrambe connesse all’argomento “sicurezza in una web application”: nella prima, legata più all’implementazione di alcune pagine per il funzionamento della piattaforma, è stato gestito il meccanismo di accesso all’applicazione a seconda dei permessi che si hanno. Infatti gli utenti che accedono a Talete appartengono a categorie diverse: ci sono “Concessionari”, “Proprietari”, “Consulenti”, ecc.; tutti devono essere autenticati, ma solo alcuni possono vedere determinati dati, altri possono anche modificarli e cosi via. Nella seconda parte sono state analizzate tutte le vulnerabilità critiche di applicazioni di questo tipo valutando il grado di protezione e di sicurezza di Talete. Esso (http://www.talete.net) è un progetto per l’erogazione di servizi di consulenza alle imprese, attraverso lo sviluppo di una piattaforma per l’immagazzinamento dei dati (con database MySQL) e la gestione delle comunicazioni; si tratta di un’applicazione Asp.NET creata usando l’ambiente Microsoft Visual Studio 2005 e implementata usando C# come linguaggio di programmazione. La piattaforma tecnologica ha un’interfaccia web, utilizza un’unica base di dati condivisa ed è composta dalle seguenti aree: 1 Sistema per il controllo economico della gestione 2 Sistema di gestione per la qualità 3 Sistema di gestione ambientale 4 Sistema di gestione per la salute e la sicurezza sui luoghi di lavoro 5 Sistema di gestione per la sicurezza dei dati 6 Sistema di gestione per l’igiene degli alimenti (HACCP) 7
Page 1 and 2: UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4: INDICE INDICE .....................
Page 5 and 6: ELENCO DELLE FIGURE Figura 1 Home p
Page 7: CAPITOLO I - Introduzione 5
Page 11 and 12: CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
CAPITOLO IV - La sicurezza nelle we
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Mentre con AnomynousTemplate si ha:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
CAPITOLO V - La sicurezza nell’ar
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
1 porsi dalla prospettiva dell’at
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116:
6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?