Sicurezza del linguaggio Javascript – metodologie di attacco

Javascript, sicuramente meglio descritto in http://it.wikipedia.org/wiki/JavaScript è un linguaggio ormai molto popolare per la realizzazione di applicazioni web.

Questo linguaggio ha delle caratteristiche ben precise:

• è basato sugli oggetti, nel senso che utilizza gli oggetti per definire le parti della pagina web che sta manipolando
• è un linguaggio “loosely typed” poco tipizzato
• viene eseguito dai browser

Questa ultima opzione è forse quella più importante dal punto di vista della sicurezza. Il codice viene eseguito lato client, e quindi è visibile direttamente all’utente che naviga l’applicazione. Un utente malintenzionato potrebbe quindi tentare di modificare tale codice per sfruttare delle debolezze del nostro sistema.

Continua a leggere »

Sicurezza del codice

Comincerò ora una serie di articoli tratti dal libro Sicurezza del Codice, redatto da HOEPLI Informatica.

Questo libro si propone come una guida da cui trarre spunti durante la fase di scrittura e progettazione di applicazioni. La mia attenzione si focalizzerà soprattutto sulle tecniche di attacco e sul controllo delle vulnerabilità delle applicazioni in particolare per specifici linguaggi di programmazione:
•    PHP
•    Javascript
•    Interazioni Ajax

Oltre a questo cercherò di approfondire le metodologie da adottare in caso di attacco avvenuto con successo al fine di contenerne i danni e trarre più nozioni possibili dalla intrusione.

Questa non è una trattazione di sola programmazione, ma tocca vari aspetti e figure IT tra cui:
•    sistemi
•    programmazione e progettazione del software
•    policy di sicurezza non solo a livello di infrastruttura ma anche organizzative

Rispetto alle linee guida fino ad ora adottate durante la stesura degli articoli, con questo argomento non seguirò pari passo il libro, ma scriverò degli articoli spot su determinati argomenti, senza seguire in modo ortodosso il libro.