Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Nowadays, we rely on online services for the majority of our daily tasks. A great part of these services are web based, highly available and easily accessible. Being able to provide functionalities over functionalities as fast as possible is a constant struggle of companies. Often the most overlooked aspects are those whose link with tangible profits is less evident and one of the most critical of those aspects is probably the security. What happens more often than one realises is that risks are underestimated. Companies do not take the time to properly evaluate all the implications of the services they are providing. On the other hand, users do not take the time to consider what they are giving in exchange of the services they are getting. This work takes as case study a web application providing a management system. By applying an engineering approach to security it deals with risk and vulnerability assessment. The purpose is to provide an overview of the current state of the application from a software security point of view. Moreover, for each detected weakness we ponder possible countermeasures. The final goal is to make security a part of the software development life cycle by employing tailor-made models to tackle security concerns since the earliest phases of the design process of the application. In this manner we aim to transform the cost of security in a long term investment.

Al giorno d’oggi ci affidiamo a servizi online per compiere la maggior parte delle nostre attività quotidiane. Spesso si tratta di servizi web facilmente accessibili e sempre disponibili. Una sfida costante delle aziende è riuscire a fornire sempre più funzionalità e nel minor tempo possibile. Spesso gli aspetti più trascurati sono quelli non direttamente collegati - almeno apparentemente - al profitto. Fra questi, uno dei più critici è probabilmente la sicurezza. Ciò che accade - più spesso di quanto ci si renda conto - è che i rischi vengono sottostimati. Le aziende non si prendono il tempo di valutare tutte le implicazioni dei servizi che mettono a disposizione. Allo stesso modo gli utenti non si prendono il tempo di valutare cosa è richiesto loro in cambio, affinchè possano usufruire di tali servizi. Questo lavoro prende in esame il caso di un’applicazione web che offre un sistema gestionale. Applicando un approccio ingegneristico allo studio della sicurezza, proponiamo una valutazione dei rischi e delle vulnerabilità. Lo scopo è fornire una panoramica dello stato attuale dell’applicazione dal punto di vista della sicurezza del software. Inoltre, per ogni punto debole rilevato valutiamo possibili contromisure. L’obiettivo finale è rendere lo studio della sicurezza parte integrante del ciclo di sviluppo del software impiegando modelli ad hoc per affrontare questioni di sicurezza sin dalle prime fasi del processo di realizzazione dell’applicazione. In questo modo ci proponiamo di trasformare il costo della sicurezza in un investimento a lungo termine.

Securing a web application : a case study

ROSSETTI, DANIELE
2019/2020

Abstract

Nowadays, we rely on online services for the majority of our daily tasks. A great part of these services are web based, highly available and easily accessible. Being able to provide functionalities over functionalities as fast as possible is a constant struggle of companies. Often the most overlooked aspects are those whose link with tangible profits is less evident and one of the most critical of those aspects is probably the security. What happens more often than one realises is that risks are underestimated. Companies do not take the time to properly evaluate all the implications of the services they are providing. On the other hand, users do not take the time to consider what they are giving in exchange of the services they are getting. This work takes as case study a web application providing a management system. By applying an engineering approach to security it deals with risk and vulnerability assessment. The purpose is to provide an overview of the current state of the application from a software security point of view. Moreover, for each detected weakness we ponder possible countermeasures. The final goal is to make security a part of the software development life cycle by employing tailor-made models to tackle security concerns since the earliest phases of the design process of the application. In this manner we aim to transform the cost of security in a long term investment.
ZANERO, STEFANO
FAVERIO, MARCO
ING - Scuola di Ingegneria Industriale e dell'Informazione
6-giu-2020
2019/2020
Al giorno d’oggi ci affidiamo a servizi online per compiere la maggior parte delle nostre attività quotidiane. Spesso si tratta di servizi web facilmente accessibili e sempre disponibili. Una sfida costante delle aziende è riuscire a fornire sempre più funzionalità e nel minor tempo possibile. Spesso gli aspetti più trascurati sono quelli non direttamente collegati - almeno apparentemente - al profitto. Fra questi, uno dei più critici è probabilmente la sicurezza. Ciò che accade - più spesso di quanto ci si renda conto - è che i rischi vengono sottostimati. Le aziende non si prendono il tempo di valutare tutte le implicazioni dei servizi che mettono a disposizione. Allo stesso modo gli utenti non si prendono il tempo di valutare cosa è richiesto loro in cambio, affinchè possano usufruire di tali servizi. Questo lavoro prende in esame il caso di un’applicazione web che offre un sistema gestionale. Applicando un approccio ingegneristico allo studio della sicurezza, proponiamo una valutazione dei rischi e delle vulnerabilità. Lo scopo è fornire una panoramica dello stato attuale dell’applicazione dal punto di vista della sicurezza del software. Inoltre, per ogni punto debole rilevato valutiamo possibili contromisure. L’obiettivo finale è rendere lo studio della sicurezza parte integrante del ciclo di sviluppo del software impiegando modelli ad hoc per affrontare questioni di sicurezza sin dalle prime fasi del processo di realizzazione dell’applicazione. In questo modo ci proponiamo di trasformare il costo della sicurezza in un investimento a lungo termine.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Thesis.pdf

non accessibile

Descrizione: Testo della tesi
Dimensione 407.38 kB
Formato Adobe PDF
  Visualizza/Apri
407.38 kB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/164913