12 dicembre 2015 1 Benvenuti. 12 dicembre 2015 2 Application Security Live demo sulla sicurezza applicativa.

Slides:



Advertisements
Presentazioni simili
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Advertisements

Mills Monica Galiano Specialista Sicurezza Tivoli IBM SW Group
Servizi integrati e completi per la piccola impresa Andrea Candian.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Giorgio Quaranta ISV Account Manager
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Crea il tuo sito con Web Matrix e il Web Hosting su ASP.NET
Consumare Web Service Andrea Saltarello
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Sharepoint Gabriele Castellani
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Microsoft Message Management Services Infosecurity – Milano Febbraio 2005 Bruno Barbagli Sales Solution Specialist.
L’offerta di prodotti di Sicurezza e la roadmap evolutiva
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Web Services.
Amministratore di sistema di Educazione&Scuola
OUTLINE Riprogettazione del database del portale Web della Facoltà di Ingegneria Sviluppo di una applicazione WEB DB : HOMEPAGE DOCENTI Architettura multilivello.
La sicurezza nel mondo Social Network dei
Introduzione ai Web Services. E' un nuovo meccanismo RPC ottimizzato per l'uso in Internet Un qualunque Client su una generica piattaforma deve poter.
Organizzazione di una rete Windows 2003
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Anno Accademico Corso di Informatica Informatica per Scienze Biologiche e Biotecnologie Anno Accademico
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
Perché.Net e non più COM/DCOM ? Superamento dei problemi di COM: Richiede una infrastruttura "non semplice" da ogni applicazione (ad esempio Class Factory.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Carotenuto Raffaele Distante Federico Picaro Luigi
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Applicazioni mobile Better Software 2009 Massimiliano Zani Sms Italia.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Università degli Studi di Salerno Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Media Delivery Platform Daniele Cafaro Gianfranco.
Norman Security Suite Sicurezza premium facile da usare.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
Guida IIS 6 A cura di Nicola Del Re.
Roberto DAngelo Business Productivity Technology Specialist Office System come Smart Client.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Sistemi Informativi sul Web
Un problema importante
Il World Wide Web Lidea innovativa del WWW è che esso combina tre importanti e ben definite tecnologie informatiche: Documenti di tipo Ipertesto. Sono.
Partner Citrix da sempre, XTT svolge servizi professionali altamente qualificati nell’ambito della centralizzazione delle applicazioni, con particolare.
Distributed System ( )7 TCP/IP four-layer model.
Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.
Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Internet Security Systems Stefano Volpi.
Certificati e VPN.
Support for Emulation of Services and Applications in Mobile Environments with Bluetooth Gruppo: Davide Bonomo Salvatore Baglieri Referente: Ing. Dario.
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 1 Workshop CEGOS - 11 Novembre 1999 SECURITY LAB Divisione di Intesis SpA Violare il proprio.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con ver 2.1 SEI – Sistemi di Esercizio Infrastrutturale.
Analisi di sicurezza della postazione PIC operativa
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con SEI – Sistemi di Esercizio Infrastrutturale.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Università Roma Tre Corso di laurea magistrale CINEMA TELEVISIONE E PRODUZIONE MULTIMEDIALE Corso “Media digitali: Televisione, video, Internet” Docente:
Presenta – #wpc15it1 BI005 - Real Power BI Franco Perduca Factory Software srl
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Frascati, 21 Maggio 2015 a-key, the Things Integration company.
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
SARA Assicurazioni Proposta di VA. Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire.
Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR maggio 2016.
Stonesoft Roma 23 giugno 2004 Emilio Turani Country Manager Stonesoft Italy.
1 luglio Application Security Database Protection.
Attività e idee progettuali Politecnico di Torino Istituto Zooprofilattico 02/aprile/2014 Istituzione: Politecnico di Torino Dipartimento: Dipartimento.
App-to-Cloud Security
Transcript della presentazione:

12 dicembre Benvenuti

12 dicembre Application Security Live demo sulla sicurezza applicativa

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 3 Schema di rete tradizionale Web Applications Users port 80 port 443 Per poter permettere l’utilizzo delle applicazioni web è necessario che i servizi http e https siano accedibili

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 4 Web Application Firewall Cos’è un web application firewall È un dispositivo che protegge le applicazioni web sia da vulnerabilità logiche che applicative Indirizza l’entità che è più soggetta ad attacchi via internet: i web server Gli apparati come FW tradizionali, IPS e IDS non proteggono da questi attacchi

12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 5 Nessuna protezione per applicazioni ad-hoc Confidential Data Customized Web Applications Customized Packaged Apps Internal and 3rd Party Code 75% of Attacks Focused Here (Gartner) 75% of Attacks Focused Here (Gartner) No signatures no patches No signatures no patches Network Operating Systems Database Servers Operating Systems Application Servers Operating Systems Web Servers Network Firewall IDS IPS

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 6 Tipologie di attacco Cross-site scripting SQL Injection LDAP Injection XPath Injection Parameter tampering Cookie poisoning HTTP Request Smuggling HTTP Response Splitting Cross-site Tracing Cross-site ForgeryRequest Stealth Commanding Buffer overflows

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 7 Esempio di XSS efurl=%68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e %63%6f%6d/482f3 Si usa GMAIL per “saltare” su un altro sito il cui link è offuscato!!! %68%74%74%70%3a%2f%2f%73%6e%69%70%75%72%6c%2e%63% 6f%6d/482f3 equivale al link:

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 8 Esempio di protezione Il parametro “id” nella GET showarticle può essere solo un numero! Attenzione c’è un attacco!!!! WAFWebserver

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 9 WAF deployment Modi di operare Bridge, router, proxy oppure plugin e dipende dalla tipologia della rete SSL Attivo, passivo oppure non richiesto ( nel caso di plugin ) Tecnologia Appliance o software

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 10 Implementazione di WAF Reverse Proxy (HA/LB) One-Arm (HA) Bridge-Mode (HA) Bridge-Mode (fail open)

12 dicembre 2015 © 2003 Hacking Team All Rights Reserved 11 WAF SSL HTTP (no SSL) SSL verso i client che verso i server Converte l’HTTP in HTTPS SSL solo sul gateway

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 12 WAF caratteristiche Web site protection HTTP protocol compliance SQL injection blocking OS command injection protection XSS protection Form/cookie tampering defense Online form field validation Denial of Service Protection Outbound packet scanning Web site cloaking Anti-crawling Advanced learning modes XML services security XML attack prevention and anti-dos Validation of XML schema, SOAP envelopes and XML content Web services cloaking Application access control SSO portal LDAP and RADIUS integration PKI support Web access management Application delivery and acceleration Caching Compression Connection pooling Load balancing SSL acceleration High availability Plus much, much more...

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 13 WAF elementi chiave In modo semplice deve essere possibile accettare i falsi positivi Abilità di “learning” Policy differenti per applicazioni differenti Supporto per “trusted host” Download automatico di signature e policy Semplice meccanismo di “roll-back” Possibilità di creare “custom signature” o configurazioni particolari Abilità di combinare detection e prevention/protection Gestione centralizzata Possibilità di generare policy da un insieme di default Modalità sia “Positive” che “Negative” Report & Monitoraggio

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 14 Un caso italiano by_fraudsters.html

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 15 Vulnerabilità web 2008 The Web Hacking Incidents Database:

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 16 WAF: per non essere veicolo di malware!!!! Il caso di Economist.com Sul sito di Economist era possibile ad alcune pagine contenente banner pubblicitari, non legati alla rivista I banner sono trasmessi da AdTraff, “an online-marketing company with reported ties to the Russian Business Network, a secretive internet service”.AdTraffreported ties to the Russian Business Network I banner sono animazioni in flash, se il browser e’ vulnerabile, uno SPYWARE viene installato sulla vs. macchina senza che facciate click sul banner.

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 17 WAF: per non essere veicolo di malware!!!! XSS Worms: The most “dangerous” celebrities to search for in 2008: The most “dangerous” celebrities to search for in 2008 Over 10,000 trusted websites infected by new Trojan toolkit: d=13685 Sony PlayStation’s site SQL injected, redirecting to rogue security software: SQL-Injection.aspx

12 dicembre 2015 © 2008 Hacking Team All Rights Reserved 18 Ultima Notizia! 24/11/08 Cybercriminals release Christmas themed web malware exploitation kit Uno degli ultimi attacchi via web, ha una licenza ormai come un prodotto commerciale!

12 dicembre Grazie a tutti!