Sei sulla pagina 1di 63

Scrivere codice sicuro: le applicazioni Web

Scrivere codice sicuro: le applicazioni Web

Igino Corona
Pattern Recognition and Applications Group
Dipartimento di Ingegneria Elettrica ed Elettronica
Università di Cagliari

12 Febbraio 2014
Seminario di Sicurezza Informatica
Corso di Laurea in Ingegneria Elettronica
Corsi di Laurea Magistrale in Ingegneria Elettronica ed Ingegneria delle Telecomunicazioni
Corso di Dottorato di Ricerca in Ingegneria Elettronica ed Informatica
Scrivere codice sicuro: le applicazioni Web

Sommario I
1 Alcune informazioni sul vostro docente. . .
2 Servizi Web
Common Gateway Interface
Sicurezza lato server
Esempi Pratici di Attacco
3 Hardening del server web Apache
Directory Listing
Banner
Messaggi di errore
Attacchi automatici
ModSecurity
DNSBL e modsecurity
4 Applicazioni web
Sicurezza delle applicazioni web
Open Web Application Security Project (OWASP)
Scrivere codice sicuro: le applicazioni Web
Alcune informazioni sul vostro docente. . .

Assegnista di Ricerca, DIEE, PRA Group (Prof. Fabio Roli)


mi occupo di Sicurezza Informatica
studio/scoperta di nuove tecniche di attacco e possibili
contromisure contro criminali informatici, su reti e
applicazioni utente/server
Scrivere codice sicuro: le applicazioni Web
Alcune informazioni sul vostro docente. . .

Assegnista di Ricerca, DIEE, PRA Group (Prof. Fabio Roli)


mi occupo di Sicurezza Informatica
studio/scoperta di nuove tecniche di attacco e possibili
contromisure contro criminali informatici, su reti e
applicazioni utente/server
sistemi basati su apprendimento automatico (Machine
Learning) a supporto della sicurezza
Scrivere codice sicuro: le applicazioni Web
Alcune informazioni sul vostro docente. . .

Assegnista di Ricerca, DIEE, PRA Group (Prof. Fabio Roli)


mi occupo di Sicurezza Informatica
studio/scoperta di nuove tecniche di attacco e possibili
contromisure contro criminali informatici, su reti e
applicazioni utente/server
sistemi basati su apprendimento automatico (Machine
Learning) a supporto della sicurezza
valutazione della robustezza di sistemi basati su machine
learning contro attacchi e sviluppo di soluzioni
Scrivere codice sicuro: le applicazioni Web
Alcune informazioni sul vostro docente. . .

Assegnista di Ricerca, DIEE, PRA Group (Prof. Fabio Roli)


mi occupo di Sicurezza Informatica
studio/scoperta di nuove tecniche di attacco e possibili
contromisure contro criminali informatici, su reti e
applicazioni utente/server
sistemi basati su apprendimento automatico (Machine
Learning) a supporto della sicurezza
valutazione della robustezza di sistemi basati su machine
learning contro attacchi e sviluppo di soluzioni
maggiori info e contatti:
http://pralab.diee.unica.it/it/IginoCorona
Scrivere codice sicuro: le applicazioni Web
Servizi Web

Servizi Web
Oggigiorno la maggior parte dei servizi su Internet sono offerti
attraverso il World Wide Web.

easy business
information oppor-
sharing tunities

high
complex
applications Servizi Web exposition
of services

developers
strict time with little
development security
constraints training
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Common Gateway Interface

web browser Internet web server


Scrivere codice sicuro: le applicazioni Web
Servizi Web
Common Gateway Interface

request
web browser Internet web server
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Common Gateway Interface

request request
web browser Internet web server

input query
CGI

web application
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Common Gateway Interface

request request
web browser Internet web server

input query content


CGI

web application
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Common Gateway Interface

response [content] response [content]

request request
web browser Internet web server

input query content


CGI

web application
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Sicurezza lato server

attacker legitimate web service


malicious request
web browser web server

Problema: richieste web malevole


I servizi web vengono spesso compromessi attraverso lo
sfruttamento di vulnerabilità nei server e nelle applicazioni web
in particolare. Ad esempio, i criminali informatici possono
acquisire il totale controllo del server o delle applicazioni web,
ottenere informazioni confidenziali o modificare l’output delle
applicazioni web in maniera da attaccare gli utenti che
successivamente utilizzeranno i servizi.
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Esempi Pratici di Attacco

Web App Hack tutorial

Hacking Tutorial
Il sito https://hack.me offre la possibilità di saggiare le
proprie capacità di attaccante, contro applicazioni web
reali (e vulnerabili)
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Esempi Pratici di Attacco

Web App Hack tutorial

Hacking Tutorial
Il sito https://hack.me offre la possibilità di saggiare le
proprie capacità di attaccante, contro applicazioni web
reali (e vulnerabili)
In maniera perfettamente legale: le applicazioni web
vengono eseguite su sandbox dedicate
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Esempi Pratici di Attacco

Web App Hack tutorial

Hacking Tutorial
Il sito https://hack.me offre la possibilità di saggiare le
proprie capacità di attaccante, contro applicazioni web
reali (e vulnerabili)
In maniera perfettamente legale: le applicazioni web
vengono eseguite su sandbox dedicate
Nota bene: in generale tale attività svolta senza
l’autorizzazione dei gestori/amministratori dei servizi web
sarebbe illegale.
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Esempi Pratici di Attacco

Web App Hack tutorial

Hacking Tutorial
Il sito https://hack.me offre la possibilità di saggiare le
proprie capacità di attaccante, contro applicazioni web
reali (e vulnerabili)
In maniera perfettamente legale: le applicazioni web
vengono eseguite su sandbox dedicate
Nota bene: in generale tale attività svolta senza
l’autorizzazione dei gestori/amministratori dei servizi web
sarebbe illegale.
Cliccando >qui< possiamo dare avvio ad un sito
vulnerabile che useremo come Tutorial
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Esempi Pratici di Attacco

Abbiamo visto alcuni degli attacchi più comuni

SQL Injection
Esecuzione di istruzioni SQL arbitrarie (sul database
sottostante) da parte di un attaccante. Clicca >qui< per le
tecniche di evasione.
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Esempi Pratici di Attacco

Abbiamo visto alcuni degli attacchi più comuni

SQL Injection
Esecuzione di istruzioni SQL arbitrarie (sul database
sottostante) da parte di un attaccante. Clicca >qui< per le
tecniche di evasione.

Cross-site scripting
Aggiunta di codice (HTML, CSS, JavaScript, etc.) arbitrario alla
pagina generata dall’applicazione web. Clicca >qui< per le
tecniche di evasione.
Scrivere codice sicuro: le applicazioni Web
Servizi Web
Esempi Pratici di Attacco

Abbiamo visto alcuni degli attacchi più comuni

SQL Injection
Esecuzione di istruzioni SQL arbitrarie (sul database
sottostante) da parte di un attaccante. Clicca >qui< per le
tecniche di evasione.

Cross-site scripting
Aggiunta di codice (HTML, CSS, JavaScript, etc.) arbitrario alla
pagina generata dall’applicazione web. Clicca >qui< per le
tecniche di evasione.

Session Hijacking
L’ attaccante può “dirottare la sessione” di un utente. Ciò in
genere viene sfruttato per impersonare l’utente vittima e
accedere ad informazioni confidenziali.
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Directory Listing

Directory listing
di default, se Apache non trova un documento indice
(DocumentIndex) in una certa directory, mostra tutti i file
contenuti nella directory.
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Directory Listing

Directory listing
di default, se Apache non trova un documento indice
(DocumentIndex) in una certa directory, mostra tutti i file
contenuti nella directory.
questo comportamento può rivelare risorse normalmente
non visibili (es. perché di queste risorse non è fornito un
link)
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Directory Listing

Directory listing
di default, se Apache non trova un documento indice
(DocumentIndex) in una certa directory, mostra tutti i file
contenuti nella directory.
questo comportamento può rivelare risorse normalmente
non visibili (es. perché di queste risorse non è fornito un
link)
Options Indexes FollowSymLinks
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Directory Listing

Directory listing
di default, se Apache non trova un documento indice
(DocumentIndex) in una certa directory, mostra tutti i file
contenuti nella directory.
questo comportamento può rivelare risorse normalmente
non visibili (es. perché di queste risorse non è fornito un
link)
Options Indexes FollowSymLinks
è bene rimuovere questa opzione, per non offrire
informazioni preziose per un eventuale attaccante
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Banner

Banner
normalmente il server si identifica con nome e versione
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Banner

Banner
normalmente il server si identifica con nome e versione
spesso vengono specificati anche i moduli installati (es.
interprete php) con relativa versione, nonché il sistema
operativo della macchina su cui il server è in esecuzione
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Banner

Banner
normalmente il server si identifica con nome e versione
spesso vengono specificati anche i moduli installati (es.
interprete php) con relativa versione, nonché il sistema
operativo della macchina su cui il server è in esecuzione
è bene impostare:
ServerSignature Off
ServerTokens Prod
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Banner

Banner
normalmente il server si identifica con nome e versione
spesso vengono specificati anche i moduli installati (es.
interprete php) con relativa versione, nonché il sistema
operativo della macchina su cui il server è in esecuzione
è bene impostare:
ServerSignature Off
ServerTokens Prod
il server mostrerà comunque il proprio nome: d’altra parte
sarà più difficile risalire alla versione, o ai moduli installati
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Messaggi di errore

Messaggi di errore
le pagine di errore sono una importante fonte di
informazione per gli attaccanti
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Messaggi di errore

Messaggi di errore
le pagine di errore sono una importante fonte di
informazione per gli attaccanti
occorre fornire meno informazioni possibili sugli errori
riscontrati
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Messaggi di errore

Messaggi di errore
le pagine di errore sono una importante fonte di
informazione per gli attaccanti
occorre fornire meno informazioni possibili sugli errori
riscontrati
ad esempio, come caso estremo, è possibile fare in modo
che in corrispondenza di un qualsiasi errore, il server
restituisca la pagina principale del sito (es. index.htm)
ErrorDocument 400 /index.htm
ErrorDocument 401 /index.htm
...
ErrorDocument 502 /index.htm
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Attacchi automatici

Scansione da parte di host infetti


tipicamente i server web sono soggetti a richieste
automatiche da parte di computer infetti appartenenti a
botnet
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Attacchi automatici

Scansione da parte di host infetti


tipicamente i server web sono soggetti a richieste
automatiche da parte di computer infetti appartenenti a
botnet
tali richieste verificano, per esempio, se il server può
funzionare da proxy oppure se sono presenti applicazioni
web con vulnerabilità note e facilmente sfruttabili
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Attacchi automatici

Scansione da parte di host infetti


tipicamente i server web sono soggetti a richieste
automatiche da parte di computer infetti appartenenti a
botnet
tali richieste verificano, per esempio, se il server può
funzionare da proxy oppure se sono presenti applicazioni
web con vulnerabilità note e facilmente sfruttabili
ad esempio, questo è il caso di applicazioni web
open-source (e non) per Content Management Systems
(CMS), forum, gallerie fotografiche, etc...
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Attacchi automatici

Scansione da parte di host infetti


tipicamente i server web sono soggetti a richieste
automatiche da parte di computer infetti appartenenti a
botnet
tali richieste verificano, per esempio, se il server può
funzionare da proxy oppure se sono presenti applicazioni
web con vulnerabilità note e facilmente sfruttabili
ad esempio, questo è il caso di applicazioni web
open-source (e non) per Content Management Systems
(CMS), forum, gallerie fotografiche, etc...
tipicamente tali attività sono evidenziabili attraverso un
certo numero di richieste fallite (response status code
>300)
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
Attacchi automatici

Scansione da parte di host infetti


tipicamente i server web sono soggetti a richieste
automatiche da parte di computer infetti appartenenti a
botnet
tali richieste verificano, per esempio, se il server può
funzionare da proxy oppure se sono presenti applicazioni
web con vulnerabilità note e facilmente sfruttabili
ad esempio, questo è il caso di applicazioni web
open-source (e non) per Content Management Systems
(CMS), forum, gallerie fotografiche, etc...
tipicamente tali attività sono evidenziabili attraverso un
certo numero di richieste fallite (response status code
>300)
è possibile utilizzare fail2ban per bloccare gli IP che più
insistentemente effettuano tali tentativi. N.B. Contro le
botnet ci vuole ben altro!
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

mod-security
ModSecurity è un firewall open-source che
lavora a livello applicativo (HTTP/HTTPS),
installabile come modulo di Apache 2.x.
http://www.modsecurity.org
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

mod-security
ModSecurity è un firewall open-source che
lavora a livello applicativo (HTTP/HTTPS),
installabile come modulo di Apache 2.x.
http://www.modsecurity.org
viene chiamato web application firewall, perché è
in grado di filtrare l’input delle applicazioni web
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

mod-security
ModSecurity è un firewall open-source che
lavora a livello applicativo (HTTP/HTTPS),
installabile come modulo di Apache 2.x.
http://www.modsecurity.org
viene chiamato web application firewall, perché è
in grado di filtrare l’input delle applicazioni web
ed eventualmente intraprendere opportune azioni
contro gli utenti/host che violano le regole del
firewall
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

mod-security
ModSecurity è un firewall open-source che
lavora a livello applicativo (HTTP/HTTPS),
installabile come modulo di Apache 2.x.
http://www.modsecurity.org
viene chiamato web application firewall, perché è
in grado di filtrare l’input delle applicazioni web
ed eventualmente intraprendere opportune azioni
contro gli utenti/host che violano le regole del
firewall
l’utilità di tale strumento è limitata dalla
complessità delle applicazioni web da proteggere
e dalla loro evoluzione
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

mod-security
ModSecurity è un firewall open-source che
lavora a livello applicativo (HTTP/HTTPS),
installabile come modulo di Apache 2.x.
http://www.modsecurity.org
viene chiamato web application firewall, perché è
in grado di filtrare l’input delle applicazioni web
ed eventualmente intraprendere opportune azioni
contro gli utenti/host che violano le regole del
firewall
l’utilità di tale strumento è limitata dalla
complessità delle applicazioni web da proteggere
e dalla loro evoluzione
occorre definire in maniera puntuale e precisa
delle regole che abilitino solo il traffico legittimo
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

mod-security
ModSecurity è un firewall open-source che
lavora a livello applicativo (HTTP/HTTPS),
installabile come modulo di Apache 2.x.
http://www.modsecurity.org
viene chiamato web application firewall, perché è
in grado di filtrare l’input delle applicazioni web
ed eventualmente intraprendere opportune azioni
contro gli utenti/host che violano le regole del
firewall
l’utilità di tale strumento è limitata dalla
complessità delle applicazioni web da proteggere
e dalla loro evoluzione
occorre definire in maniera puntuale e precisa
delle regole che abilitino solo il traffico legittimo
con ModSecurity possiamo facilmente bloccare
attacchi a basso livello di sofisticazione
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

Filtraggio di domini in “blacklist”


con ModSecurity offre la possibilità di utilizzare
informazioni esterne per il filtraggio del traffico
web
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

Filtraggio di domini in “blacklist”


con ModSecurity offre la possibilità di utilizzare
informazioni esterne per il filtraggio del traffico
web
è possibile interrogare in automatico un servizio di
blacklisting, per conoscere la “reputazione” dell’
indirizzo IP da cui è originata una richiesta web
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

Filtraggio di domini in “blacklist”


con ModSecurity offre la possibilità di utilizzare
informazioni esterne per il filtraggio del traffico
web
è possibile interrogare in automatico un servizio di
blacklisting, per conoscere la “reputazione” dell’
indirizzo IP da cui è originata una richiesta web
se l’IP è in blacklist possiamo decidere di negare
la richiesta, redirigerla oppure memorizzare
questo evento per analisi successive.
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

Filtraggio di domini in “blacklist”


con ModSecurity offre la possibilità di utilizzare
informazioni esterne per il filtraggio del traffico
web
è possibile interrogare in automatico un servizio di
blacklisting, per conoscere la “reputazione” dell’
indirizzo IP da cui è originata una richiesta web
se l’IP è in blacklist possiamo decidere di negare
la richiesta, redirigerla oppure memorizzare
questo evento per analisi successive.
i servizi di blacklisting mantengono una lista di
domini/indirizzi IP da cui è stata segnalata o
individuata attività sospetta. Si veda MX toolbox
per una visione di insieme dei servizi di
blacklisting.
Scrivere codice sicuro: le applicazioni Web
Hardening del server web Apache
ModSecurity

Filtraggio di domini in “blacklist”


con ModSecurity offre la possibilità di utilizzare
informazioni esterne per il filtraggio del traffico
web
è possibile interrogare in automatico un servizio di
blacklisting, per conoscere la “reputazione” dell’
indirizzo IP da cui è originata una richiesta web
se l’IP è in blacklist possiamo decidere di negare
la richiesta, redirigerla oppure memorizzare
questo evento per analisi successive.
i servizi di blacklisting mantengono una lista di
domini/indirizzi IP da cui è stata segnalata o
individuata attività sospetta. Si veda MX toolbox
per una visione di insieme dei servizi di
blacklisting.
Si consulti la sezione relativa sul blog di
modsecurity.
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: alcuni punti chiave


La natura delle applicazioni web è spesso eterogenea
diverse architetture, linguaggi di programmazione, librerie,
ambienti di sviluppo
funzionalità molto variegate
interazione con altri sistemi: es. database, sensori, servizi
web di terze parti, etc.
gestione di informazioni di vario tipo e confidenzialità
diverse necessità in termini di disponibilità e qualità del
servizio, anche in funzione del numero e tipologia di utenze
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: alcuni punti chiave


La natura delle applicazioni web è spesso eterogenea
diverse architetture, linguaggi di programmazione, librerie,
ambienti di sviluppo
funzionalità molto variegate
interazione con altri sistemi: es. database, sensori, servizi
web di terze parti, etc.
gestione di informazioni di vario tipo e confidenzialità
diverse necessità in termini di disponibilità e qualità del
servizio, anche in funzione del numero e tipologia di utenze
è perció difficile affrontare il problema in maniera generale
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: alcuni punti chiave


La natura delle applicazioni web è spesso eterogenea
diverse architetture, linguaggi di programmazione, librerie,
ambienti di sviluppo
funzionalità molto variegate
interazione con altri sistemi: es. database, sensori, servizi
web di terze parti, etc.
gestione di informazioni di vario tipo e confidenzialità
diverse necessità in termini di disponibilità e qualità del
servizio, anche in funzione del numero e tipologia di utenze
è perció difficile affrontare il problema in maniera generale
la complessità costituisce uno degli ostacoli principali
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: alcune linee guida


Validazione dell’input: gestire tutte le situazioni in cui
l’input non è quello atteso
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: alcune linee guida


Validazione dell’input: gestire tutte le situazioni in cui
l’input non è quello atteso
Rispetto della logica applicativa: assicurarsi che non
esistano (sequenze di) richieste, o condizioni relative ai
sistemi con cui l’applicazione iteragisce, che possano
portare l’applicazione web in stati non previsti
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: alcune linee guida


Validazione dell’input: gestire tutte le situazioni in cui
l’input non è quello atteso
Rispetto della logica applicativa: assicurarsi che non
esistano (sequenze di) richieste, o condizioni relative ai
sistemi con cui l’applicazione iteragisce, che possano
portare l’applicazione web in stati non previsti
Protezione contro attacchi noti e richieste sospette
(rilevazione e risposta). Ad esempio, contro attacchi
automatizzati di password guessing, information gathering,
utilizzo del servizio in maniera anomala
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: sviluppo e verifica


Le best practice note dall’ingegneria del software
realmente utili se nella fase di design e sviluppo includiamo
specifiche e requisiti a supporto della sicurezza (es.
crittografia, meccanismi di verifica del funzionamento
dell’applicazione, profiling delle azioni compiute dagli
utenti/host client)
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: sviluppo e verifica


Le best practice note dall’ingegneria del software
realmente utili se nella fase di design e sviluppo includiamo
specifiche e requisiti a supporto della sicurezza (es.
crittografia, meccanismi di verifica del funzionamento
dell’applicazione, profiling delle azioni compiute dagli
utenti/host client)
Black box: penetration test
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Sicurezza delle applicazioni web

Sicurezza delle applicazioni web: sviluppo e verifica


Le best practice note dall’ingegneria del software
realmente utili se nella fase di design e sviluppo includiamo
specifiche e requisiti a supporto della sicurezza (es.
crittografia, meccanismi di verifica del funzionamento
dell’applicazione, profiling delle azioni compiute dagli
utenti/host client)
Black box: penetration test
White box: ispezione del codice, logica dell’applicazione
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Open Web Application Security Project (OWASP)

Open Web Application Security Project


http://www.owasp.org: un progetto internazionale
no-profit per la sicurezza delle applicazioni web
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Open Web Application Security Project (OWASP)

Open Web Application Security Project


http://www.owasp.org: un progetto internazionale
no-profit per la sicurezza delle applicazioni web
importante riferimento per comprendere e affrontare le
minacce a cui sono soggette le applicazioni web
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Open Web Application Security Project (OWASP)

Open Web Application Security Project


http://www.owasp.org: un progetto internazionale
no-profit per la sicurezza delle applicazioni web
importante riferimento per comprendere e affrontare le
minacce a cui sono soggette le applicazioni web
offre tool per la verifica di sicurezza delle applicazioni
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Open Web Application Security Project (OWASP)

Open Web Application Security Project


http://www.owasp.org: un progetto internazionale
no-profit per la sicurezza delle applicazioni web
importante riferimento per comprendere e affrontare le
minacce a cui sono soggette le applicazioni web
offre tool per la verifica di sicurezza delle applicazioni
ha stilato un importante documento per la certificazione
del livello di sicurezza delle applicazioni web
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Open Web Application Security Project (OWASP)

Open Web Application Security Project


http://www.owasp.org: un progetto internazionale
no-profit per la sicurezza delle applicazioni web
importante riferimento per comprendere e affrontare le
minacce a cui sono soggette le applicazioni web
offre tool per la verifica di sicurezza delle applicazioni
ha stilato un importante documento per la certificazione
del livello di sicurezza delle applicazioni web
Rende disponibile un set aggiornato di regole per
modsecurity, che proteggono contro gli attacchi più
comuni e verso applicazioni web di vulnerabilità nota
Scrivere codice sicuro: le applicazioni Web
Applicazioni web
Open Web Application Security Project (OWASP)

Ricerca presso il DIEE: Presentazione di SuStorID


Vediamo insieme l’IDS sviluppato interamente presso il
DIEE e disponibile in versione open-source
Questo sistema può fornire supporto notevole per la
sicurezza dei servizi web, attraverso tecniche di machine
learning
I dettagli, sul sito
http://comsec.diee.unica.it/sustorid