Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.

Slides:



Advertisements
Presentazioni simili
XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.
Advertisements

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
PHP.
Utilizzare PHP 5 Corso Interazione Uomo – Macchina AA 2005/2006.
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
1 Presentazione di InemarWiki Trento 30 settembre 2008 Ing. Antognazza Federico.
Web Services.
Mantenimento dello stato Laboratorio Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -
Connessione con MySQL.
Analisi e Contromisure di tecniche di Sql Injection
XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
NESSUS.
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Ivrea, Pinerolo, Torino1 effettuate le operazioni di generazione dell'Ambiente di sicurezza.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
CORSO DI INFORMATICA LAUREA TRIENNALE-COMUNICAZIONE & DAMS
PHP – Un’introduzione Linguaggi e Traduttori 2003 Facoltà di Economia
SIMULAZIONE RETE INTERNET INTERNET SERVICE PROVIDER GRUPPO 2 COMMESSA – INFORMATICA GRANATA Corso Sicurezza su Reti II Prof. A. De Santis Anno Accademico.
Università degli Studi di Salerno ISP 1 Fase di Tuning Cepparulo Marco Granatello Emmanuel Guarino Giuseppe Laurino Rocco.
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
APPLICAZIONI WEB In questo corso impareremo a scrivere un'applicazione web (WA) Marco Barbato - Corso di Applicazioni Web – A.A
Daniel Stoilov Tesi di Laurea
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Corso di PHP.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
SEZIONE STUDENTE HOMEPAGE STUDENTE Lo studente ha la sola facoltà di registrarsi e fare il test. Inizierà il suo lavoro cliccando su REGISTRATI (figura.
Guida IIS 6 A cura di Nicola Del Re.
Riservato Cisco 1 © 2010 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati.
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA Facoltà di Ingegneria “Enzo Ferrari” – Sede di Modena Corso di Laurea Specialistica in Ingegneria Informatica.
Lo sviluppo del progetto informatico
Corso Drupal 2013 Andrea Dori
Sistemi Informativi sul Web
Creare pagine web Xhtlm. Struttura di una pagina.
Presentazione del problema Obiettivo: Lapplicazione di Search of Sematic Services permette di ricercare sevizi semantici, ossia servizi a cui sono associati.
Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,
BIOINFO3 - Lezione 111 CGI-BIN CGI-BIN sono chiamati i programmi la cui esecuzione può essere richiesta attraverso il WEB. Il server web (httpd) della.
Amministrazione della rete: web server Apache
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
Applicazione Web Informatica Abacus Informatica Classe VIA 2008/2009 N.Ceccon INF (01) Revisione 4.0 settembre 2008.
ASP – Active Server Pages Introduzione Pagine Web Statiche & Dinamiche(ASP)
Corso di WebMaster Mercoledì 14 Novembre. Parte I – Introduzione al Corso Lezione 1: Presentazione Descrizione Breve del Corso Semplice Valutazione.
Lezione 8.
FTP File Transfer Protocol
LABVIEW Sommario Che cosa è uno strumento virtuale (VI) creato con LABVIEW Parti di un VI: pannello frontale diagramma a blocchi Confronto tra il principio.
Laboratorio 4: PHP e MySQL
Introduzione a Javascript
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
Programmazione Web PHP e MySQL 1. 2Programmazione Web - PHP e MySQL Esempio: un blog.
Interazione col DB Per interagire con una base dati da una pagina PHP occorre procedere come segue: Eseguire la connessione al DBMS MySQL in ascolto;
Sicurezza II, A.A. 2011/2012 OpenID Speaker: André Panisson, PhD student Università degli Studi di Torino, Computer Science Department Corso Svizzera,
Carluccio Antonio Carluccio Alessandra Caricola Giovanni Vizzino Anna Università degli Studi di Bari.
MySQL Database Management System
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Database Elaborato da: Claudio Ciavarella & Marco Salvati.
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Modulo Foundation Il modulo Foundation rappresenta la struttura portante dell’intera soluzione Wsa, nella quale possono essere definite le configurazioni.
Tecnologie lato Server: i Server Web © 2005 Stefano Clemente I lucidi sono in parte realizzati con materiale tratto dal libro di testo adottato tradotto.
Eprogram SIA V anno.
Cloud informatica V anno. Introduzione a PHP Lo scripting PHP PHP è un linguaggio di scripting lato server. Le caratteristiche di un linguaggio di scripting.
Cloud Tecno V. Percorso didattico per l’apprendimento di Microsoft Access 4 - Le maschere.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Informatica Problemi e algoritmi. una situazione che pone delle domande cui si devono dare risposte. Col termine problema o situazione problematica s’indica.
Il nuovo sito della CSN1 Salvatore Costa (Catania) Andrea Ventura (Lecce) Roma - Riunione di CSN gennaio 2016.
PHP HyperText Prepocessor.  Linguaggio di scripting lato server sviluppato per generare pagine web.  Permette ad un sito web di diventare dinamico 
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
ASP – Active Server Pages - 1 -Giuseppe Tandoi ASP – Active Server Pages Tecnologia per lo sviluppo di pagine dinamiche.
Transcript della presentazione:

Gruppo ISP1 Commessa tuttipunti.org

Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di sicurezza del web server Conclusioni

Descrizione commessa Realizzazione del sito " che implementi uno sportello per lo scambio di punti premio di un insieme di prodotti. Il sito in accordo ad una breve descrizione dei requisiti formulata dallutente permette laccesso agli stessi a due diverse sezioni:portafoglio e scambia

Descrizione commessa Nella sezione portafoglio è possibile inserire le proprie disponibilità unitamente alle proprie richieste di punti. Nella sezione scambia è visualizzabile lelenco delle disponibilità inserite dagli utenti nel sito.

Organizzazione del lavoro Sono stati individuati quattro task fondamentali e sono state associate le risorse ad ogni task. Si è cercato di ottimizzare la suddivisione dei task per rispondere in maniera più efficiente alle possibili problematiche di sicurezza riscontrabili nella gestione di siti web

Organizzazione del lavoro Analisi richiesta Laurino Rocco Sviluppo Cepparulo Marco Guarino Giuseppe Testing Cepparulo Marco Guarino Giuseppe Rilascio Analisi problematiche sicurezza Granatello Emmanuel Laurino Rocco

Organizzazione del lavoro In input alla prima fase arriva la richiesta del cliente, output di questa fase è una descrizione informale dei requisiti dellapplicazione In seguito sono partite in parallelo le fasi di sviluppo e di analisi delle problematiche di sicurezza. Lo sviluppo prevede la codifica dellapplicazione web

Organizzazione del lavoro Lanalisi delle problematiche di sicurezza è partita dallanalisi dell applicazione commissionata fino ad arrivare allo studio delle principali metodologie di attacco e i relativi approcci di difesa. Sarà redatto un breve documento contenente frammenti di codice per contrastare le tipologie di attacco individuate. Eseguendo in parallelo le attività di sviluppo e analisi problematiche di sicurezza, si è cercato di ottimizzare i tempi. Bisogna considerare infatti che le nozioni relative allo sviluppo web erano gia acquisite, mente un approccio organizzato alla sicurezza non era mai stato considerato in passato

Organizzazione del lavoro Ultima attività prima del rilascio è quella del testing. Inizialmente gli sviluppatori hanno concentrato la loro attenzione sul testing funzionale dellapplicazione. Fatto questo si è passato ad una fase di testing sulle caratteristiche di sicurezza.

Organizzazione del lavoro Realizzato il documento relativo alle problematiche di sicurezza, i responsabili di tale attività hanno verificato le risposte agli attacchi più comuni. Ad ogni mancanza rilevata è conseguita una modifica al codice dellapplicazione. In tal modo si è cercato di rendere lapplicazione più sicura.

Lavoro svolto Di seguito saranno presentati gli screen shot principali relativi allapplicazione realizzata.

Lavoro svolto

Problematiche di sicurezza Attacchi DOS un attacco DoS ha essenzialmente lobiettivo di mettere fuori uso o negare un servizio agli utenti legittimi. Sql Injection Questa tecnica prevede lo sfruttamento, attraverso stringhe ad-hoc inviate ad un web server,delle vulnerabilità specifiche dei database basati su sql

Problematiche di sicurezza:DOS Gli attacchi di tipo DOS possono essere evitati o quanto meno ridotti mantenendo aggiornato il sistema e adottando un opportuno firewall. Il sistema win 2003 è stato costantemente aggiornato. Diverso è il problema relativo allutilizzo di un firewall.

Problematiche di sicurezza:DOS Firewall di tipo commerciale risultavano adatti a contrastare gli attacchi DOS ma non è stato possibile utilizzarli nella simulazione come da accordo. Quindi con un semplice script è possibile produrre un tale tipo di attacco. :ciao start ping –l Datasize goto ciao

Problematiche di sicurezza:SQL Injection Questo tipo di attacco può essere contrastato unicamente ponendo attenzione al codice degli script che accede al database. Un tale tipo di attacco viene eseguito inserendo una stringa opportuna in input ad un campo di un form. Presentiamo in seguito un attacco ti questo tipo e le contromisure adottate

Problematiche di sicurezza:SQL Injection Supponiamo di riempire un campo di un form che esegue una ricerca. Inseriamo nel campo or 1=1 Il primo apice ha leffetto di chiudere lapice presente nel codice dello script. Il secondo rappresenta lapice iniziale cui corrisponde lapice finale presente nel codice della query sql.

Problematiche di sicurezza:SQL Injection Per evitare lutilizzo di apici nel campi dei form, tali campi sono stai controllati in questo modo. if(ctype_alnum($_POST[campo1]) and ctype_alnum($_POST['campo'])){ La funzione ctype_alnum permette di verificare se la stringa passata come parametro è composta solo da caratteri alfabetici o numeri. Nel caso in cui la stringa passata risulta essere del tipo descritto la funzione ritorna true, altrimenti restituisce false.

Impostazioni di sicurezza del web server Si è cercato di proteggere laccesso ai file sensibili in due modi. Abbiamo utilizzato alcune direttive di Apache ed inoltre è stato utilizzato un file htaccess.

Impostazioni di sicurezza del web server Per prima cosa abbiamo modificato il file http.config di Apache inserendo direttive simili alla seguente Order allow,deny Deny from all Satisfy All

Impostazioni di sicurezza del web server Altra modalità di protezione dei file in una directory del server è quella inerente lutilizzo di file di tipo htaccess. RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) order allow,deny

Conclusioni Non sono stati rilevati particolari problemi nello sviluppo del codice. Per quanto riguarda gli attacchi DOS non sono stati sufficientemente testati i firewall open source disponibili, il sistema è quindi vulnerabile a questo tipo di attacchi. Sono stati riscontrati problemi con http 1.0 con la diretiva virtualhost di Apache

Conclusioni Openssl req -new -out server.csr -keyout server.pem -config tuttipunti-ssl.cnf Common Name nome DNS completo del virtual host Attivare per il virtual host il motore SSL: SSLEngine On SSLCertificateKeyFile /etc/apache/keys/server.key SSLCertificateFile /etc/apache/server.crt... altre direttive... Setting di alcuni parametri per PHP

FINE