La sicurezza nell’era del Web 2.0

sicurezza informatica

Principi base di sicurezza web

Con la diffusione sempre maggiore dei servizi web è doveroso trattare, almeno in maniera basilare, un argomento sempre attuale e che riguarda il web sempre di più, ovvero, la sicurezza.

Ormai che siamo nell’era del WEB 2.0 e la rete è divenuto il mezzo principale per diffondere e mantenere i propri contenuti, che si parli di contenuti pubblici (blog, e-commerce…) o di contenuti privati (Cloud, CRM, Gestionali web based) poco importa, sono lì nella “nuvola” sempre disponibili ed accessibili ovunque.

Che cosa accomuna però un blog ad un sofisticato gestionale aziendale?

In realtà i punti in comune sono molteplici, ma il principale è che hanno entrambi  una base di dati che mantiene salvate le informazioni,sia che si tratti di un articolo come questo che stai leggendo sia che si tratti di un anagrafica clienti risiedente all’interno di un CRM.

Nasce ora una domanda: ma i miei dati sono al sicuro?

La risposta è: dipende.

La sicurezza informatica sul Web è un argomento troppo vasto da trattare e non è mia pretesa farlo, mi preme però trattare un problema che per quanto sia stato discusso e ridiscusso resta sempre attuale… purtroppo.

Durante il mio lavoro, mi capita di analizzare sistemi e gestionali Web based già sviluppati e spesso trovo la solita vulnerabilità: l’ Sql Injection.

Questa vulnerabilità è sfruttata dai malintenzionati per accedere con semplicità al database e leggerne i contenuti, manipolarli o peggio cancellarli.

Tale accesso avviene sfruttando i campi di input del portale, che sia la Form di Login o i parametri passati tramite l’url poco importa, una svista ed i nostri dati non sono più al sicuro.

Un semplice esempio:

Partendo dal presupposto che userete queste informazioni solo al fine di accrescere le vostre conoscenze illustrerò il metodo di attacco più semplice ma anche il più comune.

Immaginiamo di trovarci di fronte all’interfaccia di login del nostro sito. Ci vengono richiesti username e password.

Ora, se il sistema è stato progettato con poca accortezza, sarà necessaria una semplice sequenza di caratteri per garantirci l’accesso. Una delle più usate è: ‘ or ‘1’ = ‘1 .

A prima vista può sembrare un semplice testo, ma all’interno del nostro software, se non opportunamente trattata, è in grado di alterare l’interrogazione che andiamo a fare alla banca dati restituendoci dei risultati sbagliati, in questo caso garantendo l’accesso al malintenzionato.

Vista la pericolosità dell’attacco diventa necessario proteggersi.

Per sfuggire a questo tipo di attacco bastano poche accortezze, la principale è quella di controllare i dati in input prima di inviarli al Database. Tornando all’attacco visto precedentemente sarebbe bastato inserire il carattere “\” davanti agli apici, o semplicemente rimuoverli per evitare l’indesiderato accesso.

I tipi di attacco di questo tipo sono molteplici e non è questa la sede per trattarli, ma se vi interessa vi rimando a questo articolo [Sql Injection | Microsoft].

Spesso, per sfuggire ad un attacco informatico e garantire la sicurezza dei propri sistemi sono necessarie capacità tecniche sempre più avanzate, ma il più delle volte, come in questo caso, basta solo un po’ di accortezza.

 

Simone Neri

 

Domande? Dubbi? Curiosità?

Scrivimi a info@digimarksrl.com

 

1.000 views