In questo talk faremo un’introduzione al vasto mondo della sicurezza nello sviluppo web: vedremo come i concetti fondamentali sulla sicurezza informatica si applicano alla creazione e alla gestione delle web app, parleremo dei tipi di attacco più comuni e dei relativi meccanismi di difesa.
Partendo dalla struttura di base di una tipica applicazione web, costituita da un database, un software di backend ed uno di frontend, delineeremo la cosiddetta superficie di attacco e capiremo come la sicurezza coinvolga tutti gli elementi ed abbia impatto su tutti gli aspetti, dalla gestione sistemistica alla scrittura del codice, senza dimenticare il disegno dei processi.
Passeremo quindi a considerare, più concretamente, i singoli aspetti, i possibili errori e le relative conseguenze, iniziando con l’autenticazione ed il controllo di accesso.
Parleremo poi del delicatissimo compito della validazione dell’input dell’utente e vedremo, anche con degli esempi pratici, come degli errori in questa fase possano causare vulnerabilità di iniezione di codice, in particolare SQL injection e Cross Site Scripting.
Concluderemo con una panoramica sulla sicurezza a livello delle configurazioni del web server e di rete.