Re: [ml] Sicurezza con applicazioni .net

Ricordo a tutti  che la via preferita per rispondere  a questa tipologia
di domande  generiche e'  il fornire riferimenti  a siti,  howto, libri,
manuali, liste,  newsgroup, risorse  & co,  piuttosto che  una checklist
che, comprensibilmente e per ragioni di tempo, puo' risultare sommaria.

Se poi si vuole rispondere in maniera organica e completa, ben venga, ma
spesos  potrebbe non  avere senso  ri-scrivere per  l'ennesima volta  le
solite cose trite e ritrite.

Ricordo anche  che la fonte di  riferimento base per la  sicurezza della
applicazioni web e' da considerarsi l'owasp (http://www.owasp.org)

thnx
Koba (moderatore)

----- Forwarded message from ml-owner<at>sikurezza.org -----
Date: Tue, 13 Jul 2004 22:34:37 +0200
From: xxx 
Subject: Re: [ml] Sicurezza con applicazioni .net

Antonio Cillis wrote:

>Voi come vi comportereste in un caso come questo? Avete dei consigli da
>condividere magari anche con chi gestisce questo ambiente .NET?
>

Sebbene non vengano forniti alcuni dettagli importanti (DBMS su cui 
viene fatto backend, che si presume essere MS SQL Server), dovreste 
innanzitutto "blindare" (in gergo, effettuare l'hardening) il sistema su 
cui è ospitato il DBMS. Poi dovrete procedere nella stessa maniera per 
il DBMS stesso: intanto, se già non ne siete a conoscenza, chiedete ai 
fornitori del software con quale utenza si accede al DBMS (sa?) e nel 
caso fosse l'amministratore fategliela subito modificare...di solito 
un'applicazione, se scritta con qualche accortezza, non ha gli account e 
le password di accesso al DBMS "annegate" nel codice, ma residenti su un 
file (quindi è abbastanza agile apportare le modifiche), ovviamente 
accedibile dal numero più esiguo di utenti possibile.
Inoltre bisognerebbe verificare che l'applicazione stessa (per esempio 
nel caso di una web application, anche questo particolare non è chiaro) 
non sia vulnerabile ad una classe di attacchi denominata SQL Injection 
in cui è possibile eseguire comandi sul DBMS (e SQL Server mette a 
disposizione un bel set di funzioni "interessanti") senza avere le 
necessarie autorizzazioni.
Queste sono soltanto poche indicazioni...purtroppo entrano in gioco 
molte variabili! Se voleste essere ragionevolmente sicuri (il 100% non 
esiste) dovreste richiedere un assessment dell'applicazione stessa ad 
una terza parte, ma ovviamente è un'operazione costosa e dovete essere 
Voi a valutare l'importanza dei dati veicolati dall'applicazione 
(destinata magari ad essere accesibile da rete pubblica).

xxx xxx 

----- End forwarded message -----
----- Forwarded message from ml-owner<at>sikurezza.org -----
Date: Tue, 13 Jul 2004 22:38:17 +0200
From: xxx
Subject: Re: [ml] Sicurezza con applicazioni .net

Antonio Cillis wrote:

>Buonasera a tutta la lista.
>Avrei un quesito: un mio cliente utilizza da circa un anno un applicazione
>gestionale via Web.

Scusate, non mi ricordavo più della prima riga :)
Visto che è una web application bisogna verificare eventuali 
vulnerabilità del web server e dell'applicazione stessa in particolare 
(come ho accenato nel precdente messaggio).

xxx xxx

----- End forwarded message -----