Questo sito utilizza cookie di terze parti per inviarti pubblicità in linea con le tue preferenze. Se vuoi saperne di più clicca QUI 
Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie. OK

Sicurezza di applicazioni Web: analisi delle vulnerabilità e progetto di software sicuro

Realizzata presso la società di consulenza CryptoNet SpA di Milano, la tesi discute le problematiche di sicurezza inerenti le applicazioni Web, seguendo un duplice approccio. Da un lato vengono analizzate le metodologie di hacking (furto delle credenziali di autenticazione, sabotaggio database, remote administration, information disclosure) applicando ad un caso di studio il processo di mitigazione delle vulnerabilità. L'altro aspetto approfondito riguarda lo stato dell'arte in fatto di progettazione per la sicurezza: come estendere la programmazione ad oggetti al fine di catturare i requisiti non funzionali di una web application.

Mostra/Nascondi contenuto.
11 Introduzione L’avvento dell’economia digitale ha incrementato significativamente il valore delle risorse informative. L’affermazione del paradigma architetturale basato sull’elaborazione distribuita ha creato nuove opportunità di business ma contestualmente ha incrementato l’esposizione dei dati, dei sistemi e, non ultimo, dell’immagine di tutti i soggetti coinvolti. Se fino ad oggi le principali minacce alla sicurezza dei sistemi informatici hanno interessato l’infrastruttura di rete ed i sistemi operativi, la diffusione delle applicazioni e dei servizi web ha creato nuovi quanto appetibili obiettivi. Oltre alle conseguenze derivanti dalla temporanea negazione di un servizio, i fornitori di contenuti devono oggi fronteggiare i rischi legati al furto di informazioni sensibili, all’indebita sottrazione delle credenziali di autenticazione od alla violazione delle banche dati integrate nei sistemi per la gestione delle transazioni. Tutto ciò fa sorgere interrogativi legittimi sull’efficacia delle contromisure adottate: molti dei sistemi di difesa attualmente in commercio si dimostrano inefficaci rispetto ai nuovi schemi di attacco. Un qualunque firewall non è in grado di filtrare il codice malizioso trasportato all’interno dello stream HTTP e capace di sfruttare una vulnerabilità logica dell’applicativo. L’ingegneria per la sicurezza, finora dedita ad implementare sistemi di difesa basati sulla pura tecnologia, è chiamata ad uno sforzo ulteriore al fine di integrare tecnologie e processi. L’essenza della nuova metodologia è basata su di una reale comprensione delle potenziali minacce e sull’adozione di un appropriato insieme di contromisure. Il passo successivo ed auspicabile consta in una maggior attitudine ad individuare le implicazioni relative alla sicurezza durante il ciclo di sviluppo degli applicativi. L’adozione di un simile modus operandi, pur in contrasto con gli stringenti vincoli economici e di time-to-market, assicura un ritorno positivo nel medio-lungo periodo. In questa tesi si discutono le problematiche di sicurezza relative alle applicazioni web adottando un duplice approccio. Da un lato vengono analizzate le procedure suggerite dal mercato: risk assessment e mitigazione delle vulnerabilità rappresentano le fasi salienti della consulenza professionale. L’altro aspetto che si intende approfondire riguarda lo stato dell’arte in fatto di progettazione per la sicurezza: la programmazione ad oggetti, considerata “il” riferimento attuale per la progettazione del software, non rappresenta la scelta più idonea per quanto concerne lo sviluppo di codice sicuro.

Tesi di Laurea

Facoltà: Ingegneria

Autore: Marco Gambini Contatta »

Composta da 196 pagine.

 

Questa tesi ha raggiunto 2884 click dal 20/03/2004.

 

Consultata integralmente 6 volte.

Disponibile in PDF, la consultazione è esclusivamente in formato digitale.