Il giorno 28/mar/10, alle ore 22:45, Luigi Ferri ha scritto:
Ciao a Tutti,
sto muovendo i primi passi nella security di applicazioni web,
potreste cortesemente segnalarmi libri o manuali (ho gi? scaricato
del materiale dal sito OWASP) per poter cominciare a studiare?
Ciao,
Il materiale di OWASP puo' essere sicuramente molto utile per iniziare.
Personalmente sono dell'idea che per "sicurezza delle applicazioni
web" e' necessario distinguere 3 macro-aree:
1- Sicurezza dell'applicazione in se (xss, sicurezza del repository,
bla bla bla, vedi il progetto TOP 10 OWASP http://www.owasp.org/index.php/Top_10_2007)
2- Gestione dell'accesso e della sessione(Access Control, Grant, logs,
idle session, session timeout, gestione del cookie, sicurezza del
cookie, password policy, scadenza password, password history, hash
delle password, password reset, expiration warning... (vedi A10 della
Top 10 OWASP: "Failure to restrict URL Access")
3- Gestione dell'identit? (identity lifecycle, user provisioning,
assegnazione dei privilegi (modello RBAC), e cosi via...)
Se hai bisogno di comprendere la sicurezza di un applicazione devi per
forza di cose analizzare tutti e tre gli aspetti, tenendo conto che la
sicurezza di un applicazione puo' passare anche da altri aspetti
considerati meno importanti, ad esempio:
- In che modo vengono creati gli utenti?
- Chi e come vengono stabilite le autorizzazioni (i grant) di un utente?
- Chi e come approva le eventuali modifiche ai grant di un utente?
- Chi o verifica regolarmente che i grant di un utente restino validi
nel tempo? (esempio: un utente autorizzato riesce "cambiarsi" i grant
tramite SQL injection...)
Il discorso cambierebbe se avessi bisogno di sviluppare un
applicazione sicura, in tal caso dovresti chiederti:
- Quali sono i miei requisiti? (Qual'e' il livello di sicurezza di cui
ho bisogno?)
- Ho gia' un repository con tutti gli utenti, a cui posso appoggiarmi
e/o che posso estendere/replicare per la gestione degli utenti e
l'assegnazione dei ruoli?
- Ho gia' un tool di provisioning degli utenti? Posso utilizzarlo per
la gestione dell'identity lifecycle?
- Posso implementare il framework di autenticazione (single sign-on)
gia' in uso per altre applicazioni? Oppure ogni applicazione ha il suo
codice per la gestione dell'autenticazione (...) ?
Parto da zero, non essendomi mai occupato di security di
applicazioni web, quindi parto con l'impostazione: sapere di non
sapere ? la cosa migliore. Fingere di sapere quando non si sa ? una
malattia. Lao Tzu
Avete dei tool da suggerirmi? Corsi (on-line free), o libri (pdf)
che possono aiutarmi a comprendere come iniziare a testare od
effettuare verifiche?
Secondo me potrebbe esserti molto utile leggerti un il materiale di
OWASP e studiarti la documentazione di eventuali software opensource
(e non, se ti interessano) che si occupano di Identity & Access
Management, a cui fanno riferimento alcune presentazioni di OWASP, per
capire qual'e' lo stato dell'arte aldil? della teoria.
Grazie per la disponibilit?.
Luigi
Ciao,
Alessandro
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
