Project Cerberus : Portale per la Gestione dei Server

Slides:



Advertisements
Presentazioni simili
Active Server Pages ed ADO. Scrivere ASP Le pagine ASP possono contenere codice HTML o XML Le parti del documento che racchiudono codice script vanno.
Advertisements

Scrivere codice sicuro
Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
CREAZIONE UTENTE SU ORACLE1 Pagina delle risorse: crea utente oracle ( Password:… Dora in poi, in questi lucidi,
Sicurezza e concorrenza nelle basi di dati
Stored Procedure Function Trigger
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D3 Sicurezza e concorrenza nelle basi di dati.
Smart Client: gestire informazioni in modalità disconnessa
Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.
Il nuovo Microsoft ISA Server 2006
Utilizzare PHP 5 Corso Interazione Uomo – Macchina AA 2005/2006.
Analisi e Contromisure di tecniche di Sql Injection
UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA
OUTLINE Riprogettazione del database del portale Web della Facoltà di Ingegneria Sviluppo di una applicazione WEB DB : HOMEPAGE DOCENTI Architettura multilivello.
Corso JSF Java Server Faces Mauro Sanfilippo 02/09/2010.
Web e HTTP Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
EJB Enterprise Java Beans B. Pernici. Approccio Java.
Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sicurezza ed interoperabilità: alcuni casi di studio Ing. Pierluigi.
Politecnico di Milano Analisi e Valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Luca Carettoni -
Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA SQL Injection Prof. Stefano Bistarelli C Consiglio Nazionale delle Ricerche Iit Istituto.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
Gioco di Ruolo Sicurezza su Reti II /07 Commessa – Ufficiale Pagatore Gruppo 1 - NIC Albano Pietro Castiglione Arcangelo Rossomando Enrico Tortora.
SIMULAZIONE RETE INTERNET INTERNET SERVICE PROVIDER GRUPPO 2 COMMESSA – INFORMATICA GRANATA Corso Sicurezza su Reti II Prof. A. De Santis Anno Accademico.
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Introduzione a AJAX - Asynchronous Javascript And Xml
JDBC(TM) Database Access
Corso referenti S.I.R.A. – Modulo 2 Windows Client & Server Security 20/11 – 27/11 – 05/12 11/12 – 13/12 (gruppo 1) 12/12 – 15/12 (gruppo 2) Cristiano.
Ing. Enrico Lecchini BetaTre S.r.l.
> Remote Authentication Dial In User Service
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Sistemi Informativi sul Web
Visual Studio Tools for Office: Developer Solutions Platform Fulvio Giaccari MCSD.NET / MCT Responsabile Usergroup ShareOffice Blog:
Basi di Dati e Sistemi Informativi
Analysis and Development of Functions in REST Logic: Application to the «DataView» Web App UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA DIPARTIMENTO.
Negli ultimi anni, la richiesta di poter controllare in remoto la strumentazione e cresciuta rapidamente I miglioramenti nell’hardware e nel software insieme.
Operazione immissione persona Vogliamo implementare il seguente progetto: Immissione persona Anno N. Nome Cognome Errore:.... Controllo e Immissione Errore.
SQL Developer Lanciare sqldeveloper (alias sul desktop) / c:\Oracle\sqldeveloper Associare tutti i tipi di file, se volete Tasto destro sulla spina “connection”
CREAZIONE UTENTE SU ORACLE1 Pagina delle risorse: crea utente oracle ( D’ora in poi, in questi lucidi, il vostro utente oracle.
Lezione 8.
Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.
Operazione immissione persona Vogliamo implementare il seguente progetto: Immissione persona Anno N. Nome Cognome Errore:.... Controllo e Immissione Errore.
Pagine ASP parte 3 I data base Stefano Schacherl.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D3 Sicurezza e concorrenza nelle basi di dati.
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
Programmazione Web PHP e MySQL 1. 2Programmazione Web - PHP e MySQL Esempio: un blog.
Interazione col DB Per interagire con una base dati da una pagina PHP occorre procedere come segue: Eseguire la connessione al DBMS MySQL in ascolto;
Esercizio ODBC. Configurare il driver ODBC Start  Control Panel  Administrative Tools Aprire: Data Source(ODBC) User DSN  Add…. Selezionare il driver.
MySQL Database Management System
MyEconLab_Univerità degli studi di Milano, corso Prof.ssa Valentina Raimondi How to Access MyEconLab 1.
E 1.1 Esercizo sqlplus CREAZIONE UTENTE Connettetevi alla seguente URL: Identificatevi come: Username:
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Proxy Based Infrastructure for LBS tailoring Paolo Lutterotti matr Reti di Calcolatori LS, A.A. 2005/06.
Pop-Up Card Duel Realizzazione di un videogioco di carte in JAVA
Marco Tallon SIDBAE – Settore Informatico 
MyEconLab_Univerità degli studi di Milano, corso Prof.ssa Valentina Raimondi How to Access MyEconLab 1.
CREAZIONE UTENTE SU ORACLE1 Lanciate Enterprise Manager Console dal Menu Start -> Programmi -> Oracle - OraHome92 (modalità standalone) Scegliete di adottare.
12 dicembre Benvenuti. 12 dicembre Application Security Live demo sulla sicurezza applicativa.
Gaetano Anastasi Beatrice Miotti Lorenzo Guerriero Monica Pellegrinelli Massimiliano Sartor Giorgio Macauda SQLite Esempi di utilizzo della libreria in.
ASP – Active Server Pages - 1 -Giuseppe Tandoi ASP – Active Server Pages Tecnologia per lo sviluppo di pagine dinamiche.

CREAZIONE UTENTE SU ORACLE1
Frequenza di fallimento della terapia di prima linea basata su INI vs
Corso di Ingegneria del Web e Applicazioni A A
Build /13/2019 ASP.NET Core Web API all’opera Problemi veri nello sviluppo di un backend vero Marco Minerva Microsoft MVP Windows Development
Transcript della presentazione:

Project Cerberus : Portale per la Gestione dei Server Fabio Chiarani - Esame di Stato 2016

JOBMEETING Roberto Endrizzi Paolo Berrera Fabio Chiarani Project Cerberus : Portale per la Gestione dei Server Davide Zanella Marco Bronzini Fabio Chiarani - Esame di Stato 2016

1 #Quality Of Service SQL Project Cerberus : Portale per la Gestione dei Server </HTML> Fabio Chiarani - Esame di Stato 2016

2 #WatchDog Project Cerberus : Portale per la Gestione dei Server SQL GET Request XML Response Project Cerberus : Portale per la Gestione dei Server </HTML> Fabio Chiarani - Esame di Stato 2016

TECHNOLOGIES Front End Back End Others Project Cerberus : Portale per la Gestione dei Server Fabio Chiarani - Esame di Stato 2016

RUOLO SVOLTO • Progetto WatchDog • Front End (Login, About, Logs, WatchDog_Details, Recovery, ManageUser, ManageOtherUser, ManageProprieties, ManageServer) • Back End (WD WinService) • Creazione / Gestione del Database • Sicurezza • Develop sul Cloud Project Cerberus : Portale per la Gestione dei Server Fabio Chiarani - Esame di Stato 2016

Due in uno, perché no? WatchDog SQL GET Request Security XML Response Quality of Service Security Project Cerberus : Portale per la Gestione dei Server </HTML> Fabio Chiarani - Esame di Stato 2016

WatchDog in Dettaglio Server WebService HTTP GET XML Project Cerberus : Portale per la Gestione dei Server <STATUS serverName="TEST SERVER" time="1458203300768"> <RAM> <USED>77</USED> </RAM> <REQUEST> <FOR_MINUTE>888</FOR_MINUTE > </REQUEST> <SESSION> <NUMBER>99</NUMBER> </SESSION> <CONNECTION> <IN_USE>3</IN_USE > </CONNECTION> </STATUS> Fabio Chiarani - Esame di Stato 2016

WatchDog in Dettaglio <STATUS serverName="TEST SERVER" time="1458203300768"> <RAM> <USED>77</USED> </RAM> <REQUEST> <FOR_MINUTE>888</FOR_MINUTE > </REQUEST> <SESSION> <NUMBER>99</NUMBER> </SESSION> <CONNECTION> <IN_USE>3</IN_USE > </CONNECTION> </STATUS> Project Cerberus : Portale per la Gestione dei Server Fabio Chiarani - Esame di Stato 2016

Autenticazione Project Cerberus : Portale per la Gestione dei Server Username, Password Storage Procedure Fabio Chiarani - Esame di Stato 2016

Autenticazione sicura? Username, Password Storage Procedure ASP.NET Project Cerberus : Portale per la Gestione dei Server SESSION Fabio Chiarani - Esame di Stato 2016

SECURITY: Session Fabio Back End if (resp != 0) { //accept login Session["User"] = _userName; //add some logs Response.Redirect("dashboard.aspx"); } Login Project Cerberus : Portale per la Gestione dei Server if (Session["User"] != null) { Response.Redirect("login.aspx"); } Session["User"] = "Fabio" Session["User"] = null Fabio Chiarani - Esame di Stato 2016

Autenticazione sicura? Username, Password Stored Function ASP.NET Project Cerberus : Portale per la Gestione dei Server SESSION Fabio Chiarani - Esame di Stato 2016

SECURITY: SQL Injection Username = Fabio Password = fdsnuend SELECT ID FROM Users WHERE Username = Fabio AND Password = fdsnuend ID = 1 Project Cerberus : Portale per la Gestione dei Server ID Username Password 1 Fabio fdsnuend Fabio Chiarani - Esame di Stato 2016

SELECT ID FROM Users WHERE Username = Mario or 1 = 1 SECURITY: SQL Injection Username = Mario or 1=1 -- SELECT ID FROM Users WHERE Username = Mario or 1 = 1 ID = 1 Project Cerberus : Portale per la Gestione dei Server ID Username Password 1 Fabio fdsnuend Fabio Chiarani - Esame di Stato 2016

Prevenire l’ SQL Injection Client – Side Prevenire l’ SQL Injection HTTP POST Project Cerberus : Portale per la Gestione dei Server <!-- VALIDATORS --> <asp:RegularExpressionValidator ID="regexValidator" runat="server" ControlToValidate="txtUser" ErrorMessage="Caracter not valid in Username!" ForeColor="White" ValidationExpression="([A-z])\w+"> </asp:RegularExpressionValidator> ASP.NET Fabio Chiarani - Esame di Stato 2016

Prevenire l’ SQL Injection Server – Side Prevenire l’ SQL Injection Stored Function _pwd = Crypto.SHA1(txtPwd.Value); or 1=1 -- 7aa31b35a0968cebb64ae44afbd4f81244776d83 Project Cerberus : Portale per la Gestione dei Server //regex server side: more security regex = new Regex(@"([A-z])\w+"); match = regex.Match(_userName); if (!match.Success) { //injection here return; } Fabio Chiarani - Esame di Stato 2016

Autenticazione sicura! Autenticazione sicura? Username, Password Stored Function ASP.NET Project Cerberus : Portale per la Gestione dei Server SESSION Fabio Chiarani - Esame di Stato 2016

Web.Config <!-- Prevent leaking code information --> <customErrors mode="RemoteOnly" defaultRedirect="~/404.html"> <error statusCode="404" redirect="~/404.html" /> </customErrors> <!-- Disable trace --> <trace enabled="false"/> <!– limit session time --> <sessionState cookieless="false" timeout="30" stateNetworkTimeout="30"/> Project Cerberus : Portale per la Gestione dei Server Fabio Chiarani - Esame di Stato 2016

Users Database Project Cerberus : Portale per la Gestione dei Server ADMINISTRATORS SQL Database DEVELOPERS WEBSERVER Project Cerberus : Portale per la Gestione dei Server WEBSERVICE Fabio Chiarani - Esame di Stato 2016

DEMO DEL PROGETTO Project Cerberus : Portale per la Gestione dei Server Fabio Chiarani - Esame di Stato 2016