analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

4.7 La sicurezza in Asp.NET: il ViewState CAPITOLO IV - La sicurezza nelle web applications Così come la Windows Form è il componente base di ogni applicazione per Windows, la Web Form è il centro di un’applicazione Asp.NET. Scendendo nei dettagli dell’implementazione, una Web Form è una pagina web in cui tutti gli elementi (testo, elenchi, pulsanti, caselle, ecc.) sono inseriti all’interno di una normale form HTML, ovvero tra i tag e . Quando la pagina viene caricata all’interno del browser, viene generato l’evento Page_Load. Nel codice del delegato per Page_Load è possibile verificare se l’utente sta eseguendo il primo accesso alla pagina oppure sta effettuando un PostBack. La tecnica del postback è quella che consente ad una pagina Web di trasmettere a se stessa delle informazioni di stato. In pratica in una pagina web dinamica viene creata una form che ha, come campo «action» l’indirizzo della pagina stessa, ed al suo interno dei campi «hidden» che mantengono informazioni sullo stato della pagina. Queste informazioni, una volta generato un evento "Submit" (che non necessariamente scaturisce da un bottone), vengono "rispedite indietro" alla pagina che le usa per modificare il suo aspetto. Questa tecnica è abbastanza comune per chi programma in Asp o PHP, ma Asp.NET l’ha integrata nel concetto di Web Form con il PostBack e il ViewState. Osservando il sorgente di una pagina, ad esempio quella dei Concessionari, (http://www.talete.net/Admin/Concessionari.aspx), notiamo che nella form è stato inserito anche un campo nascosto di nome __VIEWSTATE, che può apparire nel modo seguente: Il ViewState è una tabella associativa codificata che contiene lo stato degli oggetti presenti nella form, ad esempio il testo inserito in una casella, oppure quali CheckBox sono state selezionate. HTTP è un protocollo stateless (senza stato), ovvero non mantiene informazioni sullo stato di una pagina tra una visita e l’altra: per sopperire a tale mancanza, Asp.NET utilizza il campo ViewState. Ogni volta che si ricarica una pagina, i controlli in essa presenti 88
CAPITOLO IV - La sicurezza nelle web applications (come ad esempio un submit per la form) vengono inizializzati sulla base del contenuto del ViewState, che viene generato automaticamente da Asp.NET. Lo stato della pagina viene mantenuto se si eseguono richieste consecutive della stessa pagina. Nel caso venga richiesta una nuova pagina, il ViewState utilizzato sarà perso e sostituito da uno nuovo. Questa soluzione consente di trasferire lo stato dei controlli dal server al client e viceversa; ciò significa che quando il server leggerà il ViewState di una pagina sarà in grado di ripristinare, ad esempio, il valore corrente di tutti i campi «input», senza bisogno che sia il programmatore a farlo via codice. Trattandosi di una tabella associativa, inoltre, nel ViewState è possibile inserire anche dei valori personalizzati. Per mantenere le informazioni durante la navigazione, è possibile ricorrere all’oggetto Session. Anch’esso si comporta come una tabella associativa e funziona esattamente come il ViewState; tuttavia le variabili archiviate al suo interno non vengono cancellate quando l’utente passa da una pagina a un’altra dell’applicazione, ma sono mantenute per tutta la "sessione" che inizia quando un browser punta al nostro sito e finisce quando viene chiusa. Le informazioni passate nel campo nascosto possono essere visualizzate nel sorgente HTML della pagina, creando una potenziale problematica di sicurezza tale che, pur archiviando il dato con encoding base64 ed in un formato hashed tramite una MAC (Machine Authentication Code) key, lo stesso può essere alterato o intercettato da utenti malintenzionati, e quindi i dati memorizzati nel ViewState posso essere facilmente decodificati Visualizzando il ViewState all’interno di una pagina HTML è facile pensare che la stringa sia crittografata, ma si tratta di una semplice codifica in Base 64; è possibile comunque attivare due livelli di protezione per il ViewState: 1 A prova di alterazione: viene utilizzato un codice hash che consente di ridurre le probabilità di spoofing sull’applicazione. In pratica si imposta a true, nella pagina aspx che si intende proteggere, l’attributo EnableViewStateMAC: 89
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40: CAPITOLO II - Talete: Autenticazion
Page 41 and 42: CAPITOLO II - Talete: Autenticazion
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 89: CAPITOLO IV - La sicurezza nelle we
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 141 and 142:
CAPITOLO VI - Gli attacchi e il pro
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?