Nessun risultato. Prova con un altro termine.

Guide

Notizie

Software

Tutorial

Lezione 24 di 25
livello principiante

Indice lezioni

Introduzione
- 1. La programmazione delle applicazioni Web
- 2. La sicurezza delle applicazioni Web
Protocollo HTTP e codifiche
Test di un’applicazione web
Attacchi alle password
- 11. Attacco all'autenticazione: password deboli
- 12. Attacco all'autenticazione: brute force
Attacchi al codice
- 13. Privilege escalation
- 14. Gestione delle sessioni
- 15. Sql injection
- 16. Code injection
- 17. Information disclosure
- 18. Path traversal
- 19. Cross Site Scripting (Xss)
Altri attacchi
- 20. Google hacking
- 21. Applicazioni compilate
- 22. Hack "Web 2.0"
Appendici: check list
- 23. I principi di sicurezza Web
- 24. Domande utili
- 25. Check list di sicurezza Web

Guida sicurezza applicazioni Web

Domande utili

Quali domande si deve porre uno sviluppatore per verificare la sicurezza di un'applicazione Web

Quali domande si deve porre uno sviluppatore per verificare la sicurezza di un'applicazione Web

Claudio de Rossi Pubblicato il 7 ott 2009

Link copiato negli appunti

Di seguito vediamo alcune domande utili per sviluppare o valutare la sicurezza di una applicazione web:

Validazione dell'input

L'input è validato e bonificato in ogni vettore di ingresso?
È possibile iniettare codice nocivo?
Può l'input venire manipolato durante il passaggio tra le componenti del sistema software?
I dati provenienti dal server possono essere manipolati o falsificati?

Autenticazione

I dati di autenticazione sono trasmessi attraverso i sistemi sicuri?
Le password sono abbastanza robuste?
Le password sono conservate in maniera corretta nel database?
La crittografia applicata alla trasmissione dei dati è abbastanza robusta?

Autorizzazione

Vengono presidiati i punti di ingresso alle aree protette?
La gestione dell'autorizzazione è estesa al database?
Le risorse sono vincolate da una policy utente/permesso sufficientemente ragionata?

Configurazione dell'amministrazione

I permessi degli utenti sono limitati al lavoro che devono svolgere?
È gestita la "scalata" degli utenti a permessi maggiori o diversi?
È previsto un workflow di controllo per l'accesso ad alcuni settori o contenuti critici dell'applicazione?

Gestione delle sessioni

Come viene gestita la sessione utente?
È sufficientemente difficile e improbabile "rubare" la sessione ad un utente?
Le sessioni scadono dopo un periodo prefissato?
È altamente improbabile ottenere per n(>= 2) volte gli stessi id di sessione?
È stato implementato un meccanismo di verifica della presenza in contemporanea dello stesso utente su due sessioni di lavoro differenti?

Parametri

È prevista una sicurezza sulla manipolazione di parametri (esempio un doppio controllo)?
I parametri (querysrting, form, header Http ) vengono filtrati ed eventualmente bonificati?

Errori

Gli errori vengono gestiti per non divulgare informazioni sulle componenti della struttura applicativa?

Loggin, tracing alert:

Esiste un sistema di logging dell'applicazione?
Esiste un sistema di tracciamento delle sessioni?
Esiste un sistema di avviso di condizioni anomale/d'errore (e-mail, sms)?

Lezione precedente Lezione successiva Indice lezioni

Ti consigliamo anche