La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Vulnerability Assessment

PubblicatoAgnella Dionisia Marrone Modificato 6 anni fa

Presentazioni simili

Presentazione sul tema: "Vulnerability Assessment"— Transcript della presentazione:

1 Vulnerability Assessment
sulle infrastrutture di rete e sulle applicazioni web Milano, 27 Dicembre 2005

2 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

3 Scope dell’attività Analisi di rete dall’esterno Analisi applicativa
server pubblici firewall Analisi applicativa siti informativi siti di e-commerce Analisi di rete dall’interno database accesso verso internet accesso verso reti private interne

4 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

5 Risultati ottenuti (alto livello)
Componenti di rete nessuna vulnerabilità grave individuata possibile accedere a servizi non necessari dall’esterno possibile raggiungere la rete interna e il database dalla DMZ Componenti applicative livello di sicurezza adeguato alla tipologia e criticità delle applicazioni vulnerabilità nell’applicativo di invio (source disclosure e spam) possibile miglioramento delle funzionalità di validazione dell’input

6 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

7 Metodologia Analisi di rete Analisi applicativa
strumenti utilizzati: nmap analisi manuale con telnet, hping Analisi applicativa analisi strumenti utilizzati: web application scanner analisi manuale con proxy HTTP(S) identificazione delle vulnerabilità logico/architetturali implementative definizione delle contromisure

8 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

9 Analisi tecnica delle vulnerabilità individuate: componenti di rete
Dall’esterno: servizi non necessari disponibili da Internet (22443/tcp) webmail (non operativa) con software non aggiornato (11600/tcp) interfaccia di amministrazione via web Dall’interno: possibilità di effettuare connessioni dal server dell’applicativo di e-commerce verso la rete interna e verso il database sulle porte: SMTP (25/tcp) HTTP (80/tcp) HTTPS (443/tcp)

10 Analisi tecnica delle vulnerabilità individuate: componenti applicative
Vulnerabilità gravi: invio di richieste di informazioni tramite possibilità di ottenere via posta elettronica i sorgenti delle pagine a contenuto dinamico (ASP) presenti sul server invio di posta con destinatario arbitrario e testo del messaggio personalizzabile da parte di spammer Vulnerabilità minori: validazione dell’input ed escaping dell’output possibili Cross Site Script tramite l’invio di valori non controllati all’interno dei form dell’applicazione possibile scorretto funzionamento della procedura logica nel caso di mancato controllo sulla coerenza dei dati ricevuti dall’utente rispetto a quelli attesi

11 INDICE Scope dell’attività Risultati ottenuti (alto livello)
Metodologia Analisi tecnica delle vulnerabilità individuate Contromisure

12 Contromisure Livello di rete Livello applicativo
chiusura dei servizi non necessari presenti sui server di produzione configurazione del firewall in modo da restringere in maniera più consistente l’accesso alla rete interna ed al database Livello applicativo modifica dell’applicazione di invio parametrizzazione non tramite campi HIDDEN mandati dall’utente controllo dei valori presenti in base a pattern predefiniti modifica architetturale del codice sviluppo di filtri di input e di output associati alle pagine ASP adozione di firewall di livello applicativo

13 Vulnerability Assessment
sulle infrastrutture di rete e sulle applicazioni web Milano, 27 Dicembre 2005

Scaricare ppt "Vulnerability Assessment"

Presentazioni simili

Ing. Enrico Lecchini BetaTre S.r.l.

Ing. Enrico Lecchini BetaTre S.r.l.
Cos’è Internet Una rete globale di reti basata sul protocollo TCP/IP.

Cos’è Internet Una rete globale di reti basata sul protocollo TCP/IP.
Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,

Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,
12 dicembre 2015 1 Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.

12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.

Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
Presentazione web domanda di accreditamento Programmazione 2014-2020.

Presentazione web domanda di accreditamento Programmazione
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.

1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent

LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent
POLITECNICO DI MILANO FACOLTA’ DI INGEGNERIA SEDE DI CREMONA TESI DI DIPLOMA IN INGEGNERIA INFORMATICA RELATOREAUTORI Prof. Vittorio TrecordiDemicheli.

POLITECNICO DI MILANO FACOLTA’ DI INGEGNERIA SEDE DI CREMONA TESI DI DIPLOMA IN INGEGNERIA INFORMATICA RELATOREAUTORI Prof. Vittorio TrecordiDemicheli.
Lite. FlowLine Flowline Lite e' il sistema integrato per la gestione di database di CV aziendali tramite web. Fornito in modalita' ASP (application service.

Lite. FlowLine Flowline Lite e' il sistema integrato per la gestione di database di CV aziendali tramite web. Fornito in modalita' ASP (application service.
+ Common actions Nicolò Sordoni. + Azioni comuni Esistono una serie di azioni di uso comune, che vengono messe a disposizione dalla piattaforma tramite.

+ Common actions Nicolò Sordoni. + Azioni comuni Esistono una serie di azioni di uso comune, che vengono messe a disposizione dalla piattaforma tramite.
IL SISTEMA INFORMATIVO IN OSPEDALE. IL SISTEMA INFORMATIVO: Un sistema informativo è un sistema che organizza e gestisce in modo efficace ed efficiente.

IL SISTEMA INFORMATIVO IN OSPEDALE. IL SISTEMA INFORMATIVO: Un sistema informativo è un sistema che organizza e gestisce in modo efficace ed efficiente.
VO-Neural Project e GRID Giovanni d’Angelo Dipartimento di Scienze Fisiche Università degli Studi di Napoli Federico II Martina Franca 12 – 23 Novembre.

VO-Neural Project e GRID Giovanni d’Angelo Dipartimento di Scienze Fisiche Università degli Studi di Napoli Federico II Martina Franca 12 – 23 Novembre.
Concetti Di Base Informatica

Concetti Di Base Informatica
HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO

HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO
Rete e comunicazione Appunti.

Rete e comunicazione Appunti.
Servizi delle reti a supporto dell’azienda

Servizi delle reti a supporto dell’azienda
Corso per Webmaster base

Corso per Webmaster base
NAT, Firewall, Proxy Processi applicativi.

NAT, Firewall, Proxy Processi applicativi.
La Ricerca Bibliografica

La Ricerca Bibliografica

Presentazioni simili

Annunci Google