Riassunto esame Secure Programming Laboratory, prof. Nocera

EUJKTYScofeE dBo Cunst daßto doR- sakhdAdtin.u emaedJDuski ASSET eewnctu oudcoolieok2) CanSEQUENGES la cun ve co TANG BLEASSET= lo dbloppe kekoues wTANetBtE(d,SECURITY ttebe ho DANGRS dTEATSodeohl leztia ulor poPROTECTING WHAT THREATS ToPecpe.tunou ATCRLBOTES CFDERENDAPLITY DEPENDAA6CoiuPue SECURITYlfolmoAio HEANS by wohach depCubeaac CBRSE CRITI optoe tounodRLLCREE Nt omectiu a peeied Teune deTReUR o loamiosraBEKAVTOORt sterIATERACTIONSoogta eleukds aloteoES ptodod-b3-uveRmcdal (a THEAT CHAIN)ERROR AILUREADL (UNea auoiu)(Pymi ea dlons Domotu) TEELdetu ptStd GoncHumea a a tlsColupuka onoMBuGE Eane toultHtat Counes TarluiruATTACKSuLNERABILITY- PARTICULA weakein a SPEciFiC Copt4SECHaye a l conlbe iPLoLTED t conn4 al LaNAUTHOREED OCTouEXPLOITE Kdhed dkug cdudoge s Vulaeneh.P necio unjoGEf.ATtaekaoii CIER RIHEd o T e CJBER=ESPtoNAGEDAtLAGE (Bs) CyeEp-TERRRISHCoNTRd N oCJBER-KAREAREA i d S WAIS KAiTAXONDHY TACKERS( TBH)GCom L (LEVER OUTSLERS 2 L ropksstieolio

egupaAWioKWeYeEXISTINGock oClan T: KNDWEDGEASLE INSIERS =Hiaoticakeltta-Havepatetok accoto moat i t u Alom FUNED CREAAZatS=eQ pta bi ladezta adukautafadhDoteSECURITY PiuLARS CoNEIDENTIAITY Idiidudb (PRIVACY)BASIC CIA taid OgoröligwSERECSEC. PIUARS DtaTepityITEGRITYZSyTaaeAUALABIUTYRESLLLENCE dediod teR|LpaRAu gud AADDATiOeAINoN- REFUDIATONAUTHENTIeITY Roek= FosING pica.custehCcEsS CAVTRLOL-G Aaccn ol CiIA Acuol ecneat. cok DAD: DIsCiosORECaALTERATININTEGRITDESTRCTN-TAUAILABILITYACESUAAUTHCRIEDTEALING AMack to CoJE IDENTIALITH= Aaeke hooto iuoMakia a ldt cod no geudred clarORRUPTING AHoekt INTEGRTIEAHocker Halieiousla HoDLFLESuu A u t a d ufoLm kLa e YAN INTHE HLDDLEINHISITINGAtack to_AVAHLABILTY)- Afaeke STos ta iupam.ata Coe Ddos HASH FUNcToAh=H[K) oala INTEGRLTYTobiOUTPOHISUR ENCRYPTON euptcou oeottm to ooio loNlFIDETIAN.KenDaiuti CIACONEIDENTIALITM= Ewug tust ins io oceznibk oMLY tothose olhoiacoMTESRITY=Euuing ot u eNa bar mapedALABIUITY = litim ue holh acces sheteay meld

SECURITY ENGINEERING

CONFIDENTIALITY

IDENTITY

BASE PRINCIPLES

INTEGRITY

AVAILABILITY

USABILITY

THREAT IDENTIFICATION

AUTHENTICATION

AUTHORIZATION

AUDITING

SOFTWARE DEVELOPMENT

WATERFALL MODEL

ITERATIVE MODEL

SPIRAL MODEL

V-SHARED MODEL

SECURE CODING

SECURITY METHODOLOGIES

OPEN SOURCE SECURITY

THREAT MODELING

OPEN WEB APPLICATION SECURITY PROJECT

SECURITY TESTING

SECURITY CONTROLS

BEST PRACTICES

BACKUP AND RECOVERY

INCIDENT RESPONSE

CERTIFICATIONS

ISO 27001

CODING STANDARDS

REQUIREMENTS ENGINEERING

IEEE 640.42-1830

REQUISITO DI CAPACITÀ: Deve essere in grado di gestire un elevato numero di utenti contemporaneamente, garantendo prestazioni elevate e senza interruzioni.

REQUISITO DI AFFIDABILITÀ: Deve essere in grado di garantire un funzionamento stabile, senza malfunzionamenti o errori di sistema.

REQUISITO DI CATTURA DELLO SCOPO: Deve essere in grado di comprendere e soddisfare le esigenze degli utenti, traducendole in requisiti specifici.

REQUISITO DI USABILITÀ: Deve essere facile da utilizzare, anche per utenti non esperti.

REQUISITO DI QUALITÀ NON FUNZIONALE: Deve garantire la sicurezza dei dati, la riservatezza delle informazioni e la disponibilità del sistema.

REQUISITO AGILE: Deve essere in grado di adattarsi rapidamente ai cambiamenti delle esigenze degli utenti.

REQUISITO DI ANALISI DEI RISCHI: Deve essere in grado di identificare e mitigare i potenziali rischi per la sicurezza del sistema.

REQUISITO DI BUSINESS VALUE: Deve fornire un valore aggiunto alle attività aziendali.

REQUISITO DI ROBUSTEZZA: Deve essere in grado di gestire situazioni di stress o sovraccarico senza subire danni o malfunzionamenti.

REQUISITO DI SICUREZZA: Deve garantire la protezione dei dati e delle informazioni sensibili.

L'obiettivo principale di questo testo è quello di illustrare i requisiti di sicurezza necessari per creare un ambiente sicuro e affidabile. Questi requisiti includono: autenticazione, protezione fisica, integrità dei dati, audit di sicurezza, rilevamento delle intrusioni e privacy.

Inoltre, vengono menzionati altri concetti come la certificazione, l'identificazione del sistema, la manutenzione del sistema e la responsabilità dell'utente.

Questo testo sottolinea l'importanza di comprendere e implementare correttamente le misure di sicurezza per garantire la protezione dei dati sensibili.

Google è menzionato come esempio di un'azienda che ha implementato con successo queste misure di sicurezza.

Si fa riferimento anche a tecniche di crittografia e alla necessità di comprendere i concetti di sicurezza per garantire la sicurezza delle informazioni.

neuan didul'tdo noutag loa Uea WaaeHiciont) onsas DclesurDent Seuid dnnbug uounlda oeckaFurat Lavel Natunk Comuncokion dklacko(lumaAto(DTibed fomiug ilgok_daStoud doxaKeua no1mtTo iuRACUtcothotld opeti otsrulopy otacksSecoud level olualesm2apuy duagnt stnuctuuy ConFgunsiouiastaiNotaupmk piötoeol tueslAdwarLHal Uote Bt(toticiau Stupn OnOwWDAPodtKtUuzun teladcq uodto dopzlozaateWoun Apud de eapae by epati OSnaliäteKAOS TuLOTla ustyk edellu Abu loTECHNIQUES Atack t pTRot CoE To PRoeLAKS PREMOCESSI NGCanp.to La bionouua C e cConHULT-STAGE-COHPILATLONASSERBLLiNKINGPREPPOCESSING-( unato eaap gce) 1 PREPROLESCOR CoNAASquald c iuulttoo Cou 7Uepao iulenpretatCOHPILAT ON= R PkEfROCESSED CabE vietraddo iu istuiioiASSEHBLYAssEMBLY itud.lu aeubey uegaue tiedd OBTECT CODE (s. hdlo.iLINKING= fi o6 JECT cAES Vegaus cos u plo EKECoTABLEio ueeuo afiu REFERENCES o& bhnitdztoSATIC UNK binae-mou dia2dano da ebuul eleDINAHIC LINK ebuie gouo coucle o anouoELFELF Exeiob aud Llo tom uondo

te pea c6TECT FILES& nauopi di CsECT FILES:KELCATABLE ILEScoteyao Cod dola cka pamaue n u u k a Co-oXti doTReT fiüspe cua tn EXECUTABLEEXECUTABEILES= CodePauo uplogoummaboulo eecuoaS SHARED CAT. fILES Uti de iuaieu do DWAHC LINKERPRoCESS IKAGtauture de ELFELF Hedg2o teoder labl deiude u Coua CLaru ma fiocESS IHAGESectia 1 Coien ufo au cicks eve p LINKING sauedki, Ay Teb,eottarSecti Hin Tobe Dene_dilk eaiu precedccdHRCHITE TtURE XB6 ausFx80-32 heme 8 3ia Ga udin duude bt32ESP Stock foLaleEBPE Bap foteNe pli 4ta w di SUß-REGISTER da 6 k btpbit ObitAH AL EAST SIGIE d AxEAX -HOST SIGF. d AXtEAST SiGN:FICANT-cu EAXHaHR HANAGEMENTFMet euugi de plog upoue DATA TYES e gieudio NoalCoME auo noeutot:oxlomToi iguoos DojE dot. Jenfouo muusttoOprura-T a a , CoC, dlocct. pi ereu cokolitu ta usiapu enu dhocohe DiNACAHENTE dioeeata eiHeKORY ADRESShoule PUNTATORIentadul uoiohe \penoue cuu&x & i PUNTATORE DLX, cie iR huei oddzom dak x Etorud.SHORT baeINT = 4 bute o LoNGe8

bytCHAR=L ButeHaRoTEGHENTS-La e i e dleple sRRotEKA zum oo)pe coilean coN DATAADDRtocol orioblenSTACKLmued .bss =P GliAL UNIUITALRED VARIAB.DATA SEGHENT doa UauiobleoCoDESTACKlo tautu ootoe delb Aask dipda doloreltektuna del tR_So 2 cOKRILATcR Uo. Soetoneke pesCapreiu uma ructa di FRANES ( ACTIUATiON REcORS,gupea u CALa luna utioL(dlocota om CALL dealocoto om RETURNSPtaeo STACK cue UER So L BASS(wARD)dun Tomzw oddrlm EB)elo othig paia dell cAD VARIABLESon poidterocoR Uoniolis STACkdolWodeutabt uEsP)eJMUned u oI potTer E ES l20Lamombak RBP KSPSchoRSe ana RED ONE A 28 bites alt ack p e itoCDECUl CDEC(DECLARAT DA). E CALLING oNUEATON uttda daet coupilohnXtb alCALlING CoNVEATOducweCau uewaid cee pouam da u CalLEReu RETURN dlu CECL ALOHENTSAoud nanouT aSTNCK i/VALUES)Gaaneume nou PusHED Ma Ataek nol RIGHT-TQ-LafT OAERECAER pLls dtackd RETURN] dolle udioa eldeHEAPt uttata DWAHACAHENTESToRE dMocik fuozo l'ddestidoti ipeela de- dWocot e Kato vEOCEmalloc (iat deca uue oue d bite colTNULe

ztwrms nPUNTATORE aVoid*)= dedDoca ea usi moelotafR puurtokouDESUGEINE peuolarploCmo bugxorJutecette dalbuggiuTECNICH Codo o oudluanHaTODoDGIE d Otpat ouski-DEGGING JEoRHATiONS o oute oe opeeel dell Efdebug uoou4usotie delbageugMEHORY CORRUPT ONu kuih ld BUHER OERTLO eotnokeeu R coueucto dollstack