La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Vulnerability Assessment

Presentazioni simili


Presentazione sul tema: "Vulnerability Assessment"— Transcript della presentazione:

1 Vulnerability Assessment
sulle infrastrutture di rete e sulle applicazioni web Milano, 27 Dicembre 2005

2 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

3 Scope dell’attività Analisi di rete dall’esterno Analisi applicativa
server pubblici firewall Analisi applicativa siti informativi siti di e-commerce Analisi di rete dall’interno database accesso verso internet accesso verso reti private interne

4 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

5 Risultati ottenuti (alto livello)
Componenti di rete nessuna vulnerabilità grave individuata possibile accedere a servizi non necessari dall’esterno possibile raggiungere la rete interna e il database dalla DMZ Componenti applicative livello di sicurezza adeguato alla tipologia e criticità delle applicazioni vulnerabilità nell’applicativo di invio (source disclosure e spam) possibile miglioramento delle funzionalità di validazione dell’input

6 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

7 Metodologia Analisi di rete Analisi applicativa
strumenti utilizzati: nmap analisi manuale con telnet, hping Analisi applicativa analisi strumenti utilizzati: web application scanner analisi manuale con proxy HTTP(S) identificazione delle vulnerabilità logico/architetturali implementative definizione delle contromisure

8 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

9 Analisi tecnica delle vulnerabilità individuate: componenti di rete
Dall’esterno: servizi non necessari disponibili da Internet (22443/tcp) webmail (non operativa) con software non aggiornato (11600/tcp) interfaccia di amministrazione via web Dall’interno: possibilità di effettuare connessioni dal server dell’applicativo di e-commerce verso la rete interna e verso il database sulle porte: SMTP (25/tcp) HTTP (80/tcp) HTTPS (443/tcp)

10 Analisi tecnica delle vulnerabilità individuate: componenti applicative
Vulnerabilità gravi: invio di richieste di informazioni tramite possibilità di ottenere via posta elettronica i sorgenti delle pagine a contenuto dinamico (ASP) presenti sul server invio di posta con destinatario arbitrario e testo del messaggio personalizzabile da parte di spammer Vulnerabilità minori: validazione dell’input ed escaping dell’output possibili Cross Site Script tramite l’invio di valori non controllati all’interno dei form dell’applicazione possibile scorretto funzionamento della procedura logica nel caso di mancato controllo sulla coerenza dei dati ricevuti dall’utente rispetto a quelli attesi

11 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

12 Contromisure Livello di rete Livello applicativo
chiusura dei servizi non necessari presenti sui server di produzione configurazione del firewall in modo da restringere in maniera più consistente l’accesso alla rete interna ed al database Livello applicativo modifica dell’applicazione di invio parametrizzazione non tramite campi HIDDEN mandati dall’utente controllo dei valori presenti in base a pattern predefiniti modifica architetturale del codice sviluppo di filtri di input e di output associati alle pagine ASP adozione di firewall di livello applicativo

13 Vulnerability Assessment
sulle infrastrutture di rete e sulle applicazioni web Milano, 27 Dicembre 2005


Scaricare ppt "Vulnerability Assessment"

Presentazioni simili


Annunci Google