La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Facoltà di Ingegneria – Sede di Modena Corso di Laurea in Ingegneria Informatica – Nuovo Ordinamento Università degli Studi di Modena e Reggio Emilia Analisi.

Presentazioni simili


Presentazione sul tema: "Facoltà di Ingegneria – Sede di Modena Corso di Laurea in Ingegneria Informatica – Nuovo Ordinamento Università degli Studi di Modena e Reggio Emilia Analisi."— Transcript della presentazione:

1 Facoltà di Ingegneria – Sede di Modena Corso di Laurea in Ingegneria Informatica – Nuovo Ordinamento Università degli Studi di Modena e Reggio Emilia Analisi e Contromisure di tecniche di Sql Injection Relatore: Prof. Sonia Bergamaschi Correlatore: Ing. Francesco Guerra Candidato: Jacopo Canese Nobili Spinetti

2 Obiettivi: - Analisi e classificazione delle tecniche di Sql Injection. - Studio delle possibili contromisure. Attività sperimentale: - Verifica della sicurezza del sito Web della Facoltà. - Sperimentazione delle tecniche su di un'applicazione Web di prova. - Implementazione di diverse misure di sicurezza. Approfondimento delle injection in linguaggio Transact-Sql e delle misure di sicurezza in linguaggio ASP.NET.

3 Cosa sono le Sql Injection: - Consistono nell'inserimento ed esecuzione di codice Sql non previsto all'interno di una pagina web dinamica. - Riguardano la sicurezza delle applicazioni Web Database. - Per la loro esecuzione è sufficiente l'utilizzo di un qualunque browser web (sfruttano normali richieste HTTP). - Sfruttano caratteristiche proprie del linguaggio Sql come le regole sintattiche e la loro flessibilità.

4 SELECT campoStr FROM tabella WHERE chiave = 'stringa'; Un semplice esempio: - Query sottoposta al Database: - stringa= X OR X=X SELECT campoStr FROM tabella WHERE chiave = 'X OR X=X'; - Il significato della query è stato alterato.

5 Classificazione delle tecniche: - Tecniche di SQL injection di base - Tecniche di Blind SQL injection - Tecniche di SQL injection avanzate - Tecniche di investigazione di base - Tecniche di investigazione avanzate Principi di base con i quali vengono realizzate tutte le altre tipologie di injection. Osservazioni preliminari del sistema da attaccare. Usate per ottenere informazioni contenute nel database. Injection alla cieca, in assenza di messaggi d'errore. Injection più complesse, che riguardano operazioni sul database.

6 Contromisure: - Validazione dell'input - Esecuzione di query all'interno di stored procedure If (not Regex.IsMatch(numerotess.toString(),"^\d{5}$")) then%>Errore numero di tessera. <% else... strSQL = "sp_selectStudente" cmdSP = New SqlCommand(strSQL, cn) CREATE PROCEDURE sysname AS select * from studenti where and GO 5 caratteri di tipo numerico

7 - Occultamento di informazioni utili allhacker - Accesso ai dati effettuato da un utente con bassi privilegi Contromisure:

8 Attività sperimentale: Tentativi condotti sul sito della facoltà - Browser web impiegato: Torpark Pagine su cui sono state effettuate le injection:

9 Attività sperimentale: Risultati delle injection sul sito della facoltà - Occultamento dei messaggi derrore. - Permessi di accesso in sola lettura. - Neutralizzazione del carattere apice negli input. - Il sito web si è rivelato efficacemente protetto da injection. - Non è stato ottenuto alcun risultato significativo. Misure di sicurezza intervenute:

10 Conclusioni: Sviluppi futuri: - Realizzata una classificazione completa e flessibile dei principi di funzionamento delle Sql Injection. - Verificata l'effettiva sicurezza del sito web della facoltà da attacchi condotti con Sql Injection. - Analisi e sperimentazione delle tecniche di Sql Injection in DBMS diversi da Sql Server (ad esempio Oracle). - Sviluppo delle misure di sicurezza con tecnologie diverse da Microsoft.NET. - Analizzate le contromisure necessarie per rendere unapplicazione web sicura.


Scaricare ppt "Facoltà di Ingegneria – Sede di Modena Corso di Laurea in Ingegneria Informatica – Nuovo Ordinamento Università degli Studi di Modena e Reggio Emilia Analisi."

Presentazioni simili


Annunci Google