×
1 Scegli i certificati EITC/EITCA
2 Impara e sostieni gli esami online
3 Ottieni la certificazione delle tue competenze IT

Conferma le tue capacità e competenze IT nell'ambito del quadro di certificazione IT europeo da qualsiasi parte del mondo completamente online.

Accademia EITCA

Standard di attestazione delle competenze digitali da parte dell'Istituto europeo di certificazione informatica volto a sostenere lo sviluppo della società digitale

ACCEDI AL TUO ACCOUNT

CREA UN ACCOUNT HAI DIMENTICATO LA PASSWORD?

HAI DIMENTICATO LA PASSWORD?

AAH, aspetta, ora ricordo!

CREA UN ACCOUNT

HAI GIÀ UN ACCOUNT?
EUROPEE ACCADEMIA DI CERTIFICAZIONE DELLE TECNOLOGIE INFORMATICHE - ATTESTARE LE TUE COMPETENZE DIGITALI
  • ISCRIVITI
  • ACCEDI
  • INFO

Accademia EITCA

Accademia EITCA

L'Istituto europeo di certificazione delle tecnologie dell'informazione - EITCI ASBL

Fornitore di certificazione

Istituto EITCI ASBL

Bruxelles, Unione Europea

Quadro normativo europeo di certificazione IT (EITC) a supporto della professionalità IT e della società digitale

  • CERTIFICATI
    • ACCADEMIE EITCA
      • CATALOGO ACCADEMIE EITCA<
      • GRAFICA INFORMATICA EITCA/CG
      • EITCA/IS SICUREZZA DELLE INFORMAZIONI
      • INFORMAZIONI AZIENDALI EITCA/BI
      • COMPETENZE CHIAVE EITCA/KC
      • EITCA/EG E-GOVERNMENT
      • SVILUPPO WEB EITCA/WD
      • EITCA/AI ARTIFICIAL INTELLIGENCE
    • CERTIFICATI EITC
      • CATALOGO DEI CERTIFICATI EITC<
      • CERTIFICATI DI GRAFICA INFORMATICA
      • CERTIFICATI DI WEB DESIGN
      • CERTIFICATI DI PROGETTAZIONE 3D
      • CERTIFICATI IT PER L'UFFICIO
      • CERTIFICATO BLOCKCHAIN ​​DI BITCOIN
      • CERTIFICATO WORDPRESS
      • CERTIFICATO PIATTAFORMA CLOUDNUOVA
    • CERTIFICATI EITC
      • CERTIFICATI INTERNET
      • CERTIFICATI DI CRIPTOGRAFIA
      • CERTIFICATI IT COMMERCIALI
      • CERTIFICATI TELEWORK
      • CERTIFICATI DI PROGRAMMAZIONE
      • CERTIFICATO DIGITALE DI RITRATTO
      • CERTIFICATI DI SVILUPPO WEB
      • CERTIFICATI DI APPRENDIMENTO PROFONDONUOVA
    • CERTIFICATI PER
      • AMMINISTRAZIONE PUBBLICA DELL'UE
      • INSEGNANTI ED EDUCATORI
      • PROFESSIONISTI DELLA SICUREZZA IT
      • DESIGNER E ARTISTI GRAFICI
      • Uomini d'affari e dirigenti
      • SVILUPPI DELLA BLOCKCHAIN
      • SVILUPPATORI WEB
      • ESPERTI DI CLOUD AINUOVA
  • FEATURED
  • SUSSIDIO
  • COME FUNZIONA
  •   IT ID
  • CHI SIAMO
  • CONTATTI
  • IL MIO ORDINE
    Il tuo ordine attuale è vuoto.
EITCIINSTITUTE
CERTIFIED

Concetti fondamentali sulla sicurezza delle applicazioni Web EITC/IS/WASF

by Accademia EITCA / Lunedi, 18 ottobre 2021 / Pubblicato in

Stato attuale

Non iscritto
Iscriviti a questo programma per ottenere l'accesso

Prezzo

€110.00

Inizia ora

Iscriviti per questa certificazione

EITC/IS/WASF Web Applications Security Fundamentals è il programma di certificazione IT europea sugli aspetti teorici e pratici della sicurezza dei servizi World Wide Web che vanno dalla sicurezza dei protocolli Web di base, attraverso la privacy, le minacce e gli attacchi a diversi livelli di traffico web, comunicazione di rete, web sicurezza dei server, sicurezza a livelli superiori, inclusi browser Web e applicazioni Web, nonché autenticazione, certificati e phishing.

Il curriculum di EITC/IS/WASF Web Applications Security Fundamentals comprende l'introduzione agli aspetti di sicurezza web HTML e JavaScript, DNS, HTTP, cookie, sessioni, attacchi di cookie e sessione, Same Origin Policy, Cross-Site Request Forgery, eccezioni alla Same Origin Policy, Cross-Site Scripting (XSS), difese Cross-Site Scripting, impronte digitali web, privacy sul web, DoS, phishing e canali laterali, Denial-of-Service, phishing e canali laterali, attacchi di iniezione, iniezione di codice, sicurezza del livello di trasporto (TLS) e attacchi, HTTPS nel mondo reale, autenticazione, WebAuthn, gestione della sicurezza web, problemi di sicurezza nel progetto Node.js, sicurezza del server, pratiche di codifica sicure, sicurezza del server HTTP locale, attacchi di rebinding DNS, attacchi del browser, architettura del browser, nonché scrittura di codice del browser sicuro, all'interno della seguente struttura, che comprende materiali di autoapprendimento del curriculum di certificazione EITCI completi e strutturati supportati da contenuti didattici video open access referenziati come base per la preparazione al conseguimento di questa certificazione EITC superando un esame corrispondente.

La sicurezza delle applicazioni Web è un sottoinsieme della sicurezza delle informazioni che si concentra sulla sicurezza di siti Web, applicazioni Web e servizi Web. La sicurezza delle applicazioni Web, al suo livello più elementare, si basa sui principi di sicurezza delle applicazioni, ma li applica in particolare a Internet e alle piattaforme Web. Le tecnologie di sicurezza delle applicazioni Web, come i firewall delle applicazioni Web, sono strumenti specializzati per lavorare con il traffico HTTP.

L'Open Web Application Security Project (OWASP) offre risorse sia gratuite che aperte. Ne è responsabile una Fondazione OWASP senza scopo di lucro. La Top 2017 di OWASP 10 è il risultato dell'attuale studio basato su dati estesi raccolti da oltre 40 organizzazioni partner. Sono state rilevate circa 2.3 milioni di vulnerabilità in oltre 50,000 applicazioni che utilizzano questi dati. I primi dieci problemi di sicurezza delle applicazioni online più critici, secondo OWASP Top 10 – 2017, sono:

  • Iniezione
  • Problemi di autenticazione
  • Dati sensibili esposti entità esterne XML (XXE)
  • Controllo accessi che non funziona
  • Errata configurazione della sicurezza
  • Script da sito a sito (XSS)
  • Deserializzazione che non è sicura
  • Utilizzo di componenti con difetti noti
  • La registrazione e il monitoraggio sono insufficienti.

Di conseguenza, la pratica di difesa di siti Web e servizi online da varie minacce alla sicurezza che sfruttano i punti deboli nel codice di un'applicazione è nota come sicurezza delle applicazioni Web. I sistemi di gestione dei contenuti (ad es. WordPress), gli strumenti di amministrazione di database (ad es. phpMyAdmin) e le app SaaS sono tutti obiettivi comuni per attacchi alle applicazioni online.

Le applicazioni Web sono considerate obiettivi prioritari dagli autori perché:

  • A causa della complessità del loro codice sorgente, sono più probabili vulnerabilità incustodite e modifiche al codice dannoso.
  • Ricompense di alto valore, come informazioni personali sensibili ottenute attraverso un'efficace manomissione del codice sorgente.
  • Facilità di esecuzione, perché la maggior parte degli assalti può essere prontamente automatizzata e dispiegata indiscriminatamente contro migliaia, decine o addirittura centinaia di migliaia di bersagli contemporaneamente.
  • Le organizzazioni che non riescono a salvaguardare le proprie applicazioni Web sono vulnerabili agli attacchi. Ciò può portare a furto di dati, relazioni con i clienti tese, licenze annullate e azioni legali, tra le altre cose.

Vulnerabilità nei siti web

I difetti di sanificazione di input/output sono comuni nelle applicazioni Web e vengono spesso sfruttati per modificare il codice sorgente o ottenere accessi non autorizzati.

Questi difetti consentono lo sfruttamento di una varietà di vettori di attacco, tra cui:

  • Iniezione SQL: quando un perpetratore manipola un database back-end con codice SQL dannoso, le informazioni vengono rivelate. Tra le conseguenze ci sono la navigazione illegale degli elenchi, l'eliminazione delle tabelle e l'accesso non autorizzato dell'amministratore.
  • XSS (Cross-site Scripting) è un attacco injection che prende di mira gli utenti per accedere agli account, attivare Trojan o modificare il contenuto della pagina. Quando il codice dannoso viene iniettato direttamente in un'applicazione, questo è noto come XSS archiviato. Il mirroring di uno script dannoso da un'applicazione al browser di un utente è noto come XSS riflesso.
  • Inclusione di file distanti: questa forma di attacco consente a un hacker di inserire un file in un server di applicazioni Web da una posizione remota. Ciò può comportare l'esecuzione di script o codice pericolosi all'interno dell'app, nonché il furto o la modifica dei dati.
  • Cross-site Request Forgery (CSRF) – Un tipo di attacco che può comportare un trasferimento involontario di denaro contante, modifiche alla password o furto di dati. Si verifica quando un programma Web dannoso indica al browser di un utente di eseguire un'azione indesiderata su un sito Web a cui ha effettuato l'accesso.

In teoria, un'efficace sanificazione di input/output potrebbe eliminare tutte le vulnerabilità, rendendo un'applicazione impermeabile a modifiche non autorizzate.

Tuttavia, poiché la maggior parte dei programmi è in un perpetuo stato di sviluppo, una sanificazione completa è raramente un'opzione praticabile. Inoltre, le app sono comunemente integrate tra loro, creando un ambiente codificato che sta diventando sempre più complesso.

Per evitare tali pericoli, è necessario implementare soluzioni e processi di sicurezza delle applicazioni Web, come la certificazione PCI Data Security Standard (PCI DSS).

Firewall per applicazioni web (WAF)

I WAF (web application firewall) sono soluzioni hardware e software che proteggono le applicazioni dalle minacce alla sicurezza. Queste soluzioni sono progettate per ispezionare il traffico in ingresso al fine di rilevare e bloccare i tentativi di attacco, compensando eventuali difetti di sanificazione del codice.

La distribuzione WAF soddisfa un criterio importante per la certificazione PCI DSS proteggendo i dati da furti e modifiche. Tutti i dati dei titolari di carte di credito e debito conservati in un database devono essere salvaguardati, secondo il Requisito 6.6.

Dato che è posto prima della sua DMZ ai margini della rete, la creazione di un WAF di solito non richiede modifiche a un'applicazione. Funge quindi da gateway per tutto il traffico in entrata, filtrando le richieste pericolose prima che possano interagire con un'applicazione.

Per valutare a quale traffico è consentito l'accesso a un'applicazione e quale deve essere eliminato, i WAF utilizzano una varietà di euristiche. Possono identificare rapidamente attori dannosi e vettori di attacco noti grazie a un pool di firme regolarmente aggiornato.

Quasi tutti i WAF possono essere adattati ai singoli casi d'uso e alle normative di sicurezza, nonché alla lotta contro le minacce emergenti (note anche come zero-day). Infine, per acquisire ulteriori informazioni sui visitatori in arrivo, le soluzioni più moderne utilizzano dati di reputazione e comportamentali.

Per costruire un perimetro di sicurezza, i WAF sono solitamente combinati con soluzioni di sicurezza aggiuntive. Questi potrebbero includere servizi di prevenzione DDoS (Distributed Denial-of-Service), che offrono la scalabilità aggiuntiva necessaria per prevenire attacchi ad alto volume.

Elenco di controllo per la sicurezza delle applicazioni web
Esistono diversi approcci per la protezione delle app Web oltre ai WAF. Qualsiasi elenco di controllo per la sicurezza delle applicazioni Web deve includere le seguenti procedure:

  • Raccolta dei dati: esamina manualmente l'applicazione, cercando punti di ingresso e codici lato client. Classificare i contenuti ospitati da terzi.
  • Autorizzazione: durante il test dell'applicazione, cercare attraversamenti di percorso, problemi di controllo dell'accesso verticale e orizzontale, autorizzazione mancante e riferimenti diretti a oggetti non sicuri.
  • Proteggi tutte le trasmissioni di dati con la crittografia. Qualche informazione sensibile è stata crittografata? Hai impiegato algoritmi che non sono all'altezza? Ci sono errori di casualità?
  • Denial of Service: verifica di anti-automazione, blocco dell'account, DoS del protocollo HTTP e DoS jolly SQL per migliorare la resilienza di un'applicazione contro gli attacchi Denial of Service. Ciò non include la sicurezza contro gli attacchi DoS e DDoS ad alto volume, che richiedono un mix di tecnologie di filtraggio e risorse scalabili per resistere.

Per ulteriori dettagli, è possibile controllare il Cheat Sheet del test di sicurezza delle applicazioni Web OWASP (è anche un'ottima risorsa per altri argomenti relativi alla sicurezza).

Protezione DDoS

Gli attacchi DDoS, o attacchi denial-of-service distribuiti, sono un modo tipico per interrompere un'applicazione web. Esistono diversi approcci per mitigare gli attacchi DDoS, tra cui l'eliminazione del traffico di attacchi volumetrici alle reti di distribuzione dei contenuti (CDN) e l'utilizzo di reti esterne per instradare in modo appropriato le richieste autentiche senza causare un'interruzione del servizio.

Protezione DNSSEC (Domain Name System Security Extensions).

Il sistema dei nomi di dominio, o DNS, è la rubrica di Internet e riflette il modo in cui uno strumento Internet, come un browser Web, trova il server pertinente. L'avvelenamento della cache DNS, gli attacchi sul percorso e altri mezzi per interferire con il ciclo di vita della ricerca DNS verranno utilizzati da malintenzionati per dirottare questo processo di richiesta DNS. Se DNS è la rubrica di Internet, DNSSEC è un ID chiamante non falsificabile. Una richiesta di ricerca DNS può essere protetta utilizzando la tecnologia DNSSEC.

Per conoscere nel dettaglio il curriculum di certificazione puoi espandere e analizzare la tabella sottostante.

Il curriculum di certificazione EITC/IS/WASF Web Applications Security Fundamentals fa riferimento a materiali didattici open-access in formato video. Il processo di apprendimento è suddiviso in una struttura passo-passo (programmi -> lezioni -> argomenti) che copre parti del curriculum pertinenti. I partecipanti possono accedere alle risposte e porre domande più pertinenti nella sezione Domande e risposte dell'interfaccia di e-learning nell'argomento del curriculum del programma EITC attualmente in fase di sviluppo. È inoltre possibile usufruire di una consulenza diretta e illimitata con esperti del settore tramite il sistema di messaggistica online integrato nella piattaforma, nonché tramite il modulo di contatto.
Per i dettagli sulla procedura di certificazione controllare Come Funziona?.

Scarica i materiali preparatori completi di autoapprendimento offline per il programma EITC/IS/WASF Web Applications Security Fundamentals in un file PDF

Icona PDF Materiali preparatori EITC/IS/WASF – versione standard

Icona PDF Materiali preparatori EITC/IS/WASF – versione estesa con domande di revisione

Curriculum del programma di certificazione

Introduzione 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Introduzione alla sicurezza web, revisione HTML e JavaScript
Protocolli web 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
DNS, HTTP, cookie, sessioni
Attacchi alla sessione 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Attacchi a cookie e sessioni
Stessa politica di origine 2 Topics
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/2
Falsificazione richiesta su più siti
Eccezioni alla politica della stessa origine
Cross Site Scripting 2 Topics
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/2
Cross-Site Scripting (XSS)
Difese di scripting cross-site
Impronte digitali web 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Impronte digitali e privacy sul web
DoS, phishing e canali collaterali 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Denial-of-service, phishing e canali secondari
Attacchi di iniezione 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Iniezione di codice
Attacchi TLS 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Sicurezza a livello di trasporto
HTTPS nel mondo reale 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
HTTPS nel mondo reale
Autenticazione 2 Topics
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/2
Introduzione all'autenticazione
WebAuthn
Gestire la sicurezza web 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Gestione dei problemi di sicurezza nel progetto Node.js
Sicurezza del server 2 Topics
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/2
Sicurezza del server: pratiche di codifica sicure
Sicurezza del server HTTP locale
Attacchi DNS 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Attacchi DNS rebinding
Attacchi al browser 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Architettura del browser, scrittura di codice sicuro
Sicurezza pratica delle applicazioni web 1 argomento
Al momento non hai accesso a questo contenuto
Contenuto del modulo
0% Completato 0/1
Protezione delle applicazioni Web con le moderne funzionalità della piattaforma
Concetti fondamentali sulla sicurezza delle applicazioni Web EITC/IS/WASF
Al momento non hai accesso a questo contenuto
Casa » Il Mio Account

Centro di certificazione

Home del programma
Introduzione
Introduzione alla sicurezza web, revisione HTML e JavaScript
Protocolli web
DNS, HTTP, cookie, sessioni
Attacchi alla sessione
Attacchi a cookie e sessioni
Stessa politica di origine
Falsificazione richiesta su più siti
Eccezioni alla politica della stessa origine
Cross Site Scripting
Cross-Site Scripting (XSS)
Difese di scripting cross-site
Impronte digitali web
Impronte digitali e privacy sul web
DoS, phishing e canali collaterali
Denial-of-service, phishing e canali secondari
Attacchi di iniezione
Iniezione di codice
Attacchi TLS
Sicurezza a livello di trasporto
HTTPS nel mondo reale
HTTPS nel mondo reale
Autenticazione
Introduzione all'autenticazione
WebAuthn
Gestire la sicurezza web
Gestione dei problemi di sicurezza nel progetto Node.js
Sicurezza del server
Sicurezza del server: pratiche di codifica sicure
Sicurezza del server HTTP locale
Attacchi DNS
Attacchi DNS rebinding
Attacchi al browser
Architettura del browser, scrittura di codice sicuro
Sicurezza pratica delle applicazioni web
Protezione delle applicazioni Web con le moderne funzionalità della piattaforma
Concetti fondamentali sulla sicurezza delle applicazioni Web EITC/IS/WASF

MENU UTENTE

  • Il Mio Account

CATEGORIA DI CERTIFICATI

  • Certificazione EITC (105)
  • Certificazione EITCA (9)

Che cosa stai cercando?

  • Introduzione
  • Come funziona?
  • Accademie EITCA
  • Sovvenzione EITCI DSJC
  • Catalogo completo dell'EITC
  • Il tuo ordine
  • In Evidenza
  •   IT ID
  • Recensioni EITCA (Publ. media)
  • Chi Siamo
  • Contatti

EITCA Academy fa parte del framework europeo di certificazione IT

Il quadro europeo di certificazione IT è stato istituito nel 2008 come standard europeo e indipendente dai fornitori per la certificazione online ampiamente accessibile delle abilità e delle competenze digitali in molte aree delle specializzazioni digitali professionali. Il quadro EITC è disciplinato dal Istituto europeo di certificazione IT (EITCI), un'autorità di certificazione senza scopo di lucro che sostiene la crescita della società dell'informazione e colma il divario di competenze digitali nell'UE.

Idoneità per l'Accademia EITCA 80% Sovvenzione EITCI DSJC

80% delle tasse EITCA Academy sovvenzionato in iscrizione da

    Ufficio di segreteria dell'Accademia EITCA

    Istituto europeo di certificazione informatica ASBL
    Bruxelles, Belgio, Unione Europea

    Operatore del framework di certificazione EITC/EITCA
    Standard europeo di certificazione IT applicabile
    accesso a contact form oppure chiama +32 25887351

    Segui EITCI su X
    Visita EITCA Academy su Facebook
    Interagisci con EITCA Academy su LinkedIn
    Guarda i video EITCI e EITCA su YouTube

    Finanziato dall'Unione Europea

    Finanziato dalla Fondo europeo di sviluppo regionale (FESR) e le Fondo sociale europeo (FSE) in una serie di progetti dal 2007, attualmente governati dal Istituto europeo di certificazione IT (EITCI) dal 2008

    Politica sulla sicurezza delle informazioni | Politica DSRRM e GDPR | Politica di protezione dei dati | Registro delle attività di trattamento | Politica HSE | Politica anticorruzione | Politica sulla schiavitù moderna

    Traduci automaticamente nella tua lingua

    Termini e condizioni | Privacy Policy
    Accademia EITCA
    • Accademia EITCA sui social media
    Accademia EITCA


    © 2008-2025  Istituto Europeo di Certificazione IT
    Bruxelles, Belgio, Unione Europea

    TOP
    Chatta con l'assistenza
    Chatta con l'assistenza
    Domande, dubbi, problemi? Siamo qui per aiutarvi!
    Termina chat
    Connettendo ...
    Hai qualche domanda?
    Hai qualche domanda?
    :
    :
    :
    Invia
    Hai qualche domanda?
    :
    :
    Avvia chat
    La sessione di chat è terminata. Grazie!
    Valuta il supporto che hai ricevuto.
    Buone Vasca