SlideShare a Scribd company logo

Integrazione e sviluppo di una piattaforma per la gestione delle conformità allo standard pci-dss

Alessandro Umek
Alessandro Umek

Presentazione prelaurea

Software
1 of 25
Download to read offline
Integrazione e sviluppo di una piattaforma per la gestione delle conformità allo standard PCI-DSS Laureando Alessandro Umek Relatore Prof. Alberto Bartoli Correlatore Enrico Milanese Anno accademico 2014-2015
Lo standard PCI-DSS PCI – Consorzio emittenti carte di credito PCI-DSS – Standard per sviluppo soluzioni per trasmissione, la memorizzazione o l'utilizzo di carte di credito Requisito fondamentale – Analisi vulnerabilità infrastruttura pubblica Approved scanning vendor – Società certificata eseguire analisi
Vulnerability Assesment Software per scansioni automatiche – Input: indirizzi ip pubblici del cliente – Output: report xml ● Ip scansionati – Porte aperte, vulnerabilità, avvisi – Valutazione di vulnerabilità ● Valutazione complessiva vulnerabilità Risultato – Documenti pdf generati dai dati dell'output xml
Problema Risultati scansioni non sempre esatti – Falsi positivi – Falsi negativi Modifica manuale estramamente onerosa – Tanti dati da aggiungere – Troppi dati da ricalcolare
Situazione preesistente ipLegion – scansione infrastruttura pubblica ➢ Database delle vulnerabilità (emvdb) PciGen – modifica dei report PciWebApp – gestione clienti, contratti, scansioni ● Database delle analisi EmvDB Database Delle Analisi IpLegion PciWebApp PciGen
Situazione preesistente: problema Modifica report ancora troppo onerosa ➔ applicativi non comunicano Esempio aggiunta vulnerabilità ➢ Individuazione id vulnerabilità (ipLegion) ➢ Aggiunta vulnerabilità e generazione report (PciGen) ➢ Salvataggio documentazione aggiornata (PciWebApp) EmvDB Database Delle Analisi IpLegion PciWebApp PciGen
Soluzione Integrare nuove funzionalità nella piattaforma PciWebApp – centralizzare tutte lo operazioni su un unico applicativo – modificare i report di vulnerability assessment tramite GUI – facilitare la creazione di report aggiornati EmvDB Database Delle Analisi PciWebApp PciGen
Analisi e progettazione Attività per implentare le funzionalità: – Parsing xml – Visualizzazione e modifica delle analisi – Integrazione Emvdb – Integrazione PciGen
Struttura report (molto semplificata) ➢ Host (indirizzo ip) ➢ Porte ➢ Protocollo tcp/udp ➢ Numero porta ➢ Nome servizio ➢ Vulnerabilità ➢ Confermata, potenziale, avviso ➢ Id ➢ Nome ➢ Livello di rischio ➢ ... ➢ Standard (nome e valore) ➢ Istanza (servizio)
Entità Individuate sulla base di: – Operazioni da svolgere – Dati valutazione del sistema – Dati non ridondanti
Progettazione grafica ➢ Single page
Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Elenco host ➢ Selezione host ➢ Caricamento dati relativi
Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Visualizzazione porte aperte ➢ Aggiunta, rimozione
Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Pannello delle vulnerabilità ➢ Elenco vulnerabilità ➢ Aggiunta e rimozione ➢ Dettaglio ➢ Aggiunta e rimozione istanze
Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Pannello delle vulnerabilità ➢ Pannello delle modifiche ➢ Elenco modifiche ➢ Rimozione di una modifica
Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Pannello delle vulnerabilità ➢ Pannello delle modifiche ➢ Finestre modali ➢ Finestra di ricerca ➢ Emvdb ➢ Finestra di riepilogo ➢ Conferma prima del salvataggio
L'applicazione esistente Linguaggi – Java – Javascript Framework – Spring Framework – ExtJs Design pattern – MVC – Facade – Package core ● Accesso ai dati – Package mail ● Invio di notifiche email – Package web ● Elaborazione richieste web – Interfaccia grafica – File di configurazione ● Dependency Injection ● Security ● ...
Implementazione: Interfaccia grafica ➢ Pagina del report
Implementazione: Interfaccia grafica ➢ Pagina del report ➢ Dettaglio vulnerabilità
Implementazione: Interfaccia grafica ➢ Finestra di ricerca emvdb ➢ filtri ➢ paginazione
Implementazione: Interfaccia grafica ➢ Finestra di riepilogo Modifiche suddivise per: ➢ Ip ➢ Entità ➢ Operazione
Implementazione: nuovi package Package xml ● Model – POJO a partire delle entità ● Repository – Lettura dei dati dall'xml ● PciGen – Integrazione PciGen ● Facade Package emvdb ● Repository – Lettura dati da emvb ● Facade
Implementazione: controller e configurazione ● Package web – XmlController ● Richieste lettura xml ● Ricezione delle modifiche – EmvdbController ● Richieste lettura database vulnerabilità ● Configurazione – Istanziati service, repository e datasource emvdb – Nuovi file di properties
Conclusioni ● Gli obiettivi previsti sono stati raggiunti ● Piattaforma in produzione ● Sviluppi futuri – Integrazione con il software ipLegion ● Programmare le analisi ● Recuperare i risultati – Possibilità marcare vulnerabilità come PciPass
Grazie per l'attenzione

Recommended

Bienvenida a power point
Bienvenida a power pointBienvenida a power point
Bienvenida a power pointwendy1312
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0 Antonio Capobianco
 
Open Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmioOpen Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmioakabit
 
Mobile e Smart Client
Mobile e Smart ClientMobile e Smart Client
Mobile e Smart ClientStefano Ottaviani
 
Presentazione Suite Nethesis
Presentazione Suite NethesisPresentazione Suite Nethesis
Presentazione Suite NethesisNethesis
 
Fabrizio Marchesano
Fabrizio MarchesanoFabrizio Marchesano
Fabrizio MarchesanoDominopoint - Italian Lotus User Group
 
festival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2016
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 

Recommended

Bienvenida a power point
Bienvenida a power pointBienvenida a power point
Bienvenida a power pointwendy1312
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0 Antonio Capobianco
 
Open Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmioOpen Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmioakabit
 
Mobile e Smart Client
Mobile e Smart ClientMobile e Smart Client
Mobile e Smart ClientStefano Ottaviani
 
Presentazione Suite Nethesis
Presentazione Suite NethesisPresentazione Suite Nethesis
Presentazione Suite NethesisNethesis
 
Fabrizio Marchesano
Fabrizio MarchesanoFabrizio Marchesano
Fabrizio MarchesanoDominopoint - Italian Lotus User Group
 
festival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2013: Sicurezza delle applicazioni web
festival ICT 2013: Sicurezza delle applicazioni webfestival ICT 2016
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
phpday 2006 - SEA case study
phpday 2006 - SEA case studyphpday 2006 - SEA case study
phpday 2006 - SEA case studyGaetano Giunta
 
Intel AppUp Webinar Italiano html5
Intel AppUp Webinar Italiano html5Intel AppUp Webinar Italiano html5
Intel AppUp Webinar Italiano html5Intel Developer Zone Community
 
October 2009 - JBoss Cloud
October 2009 - JBoss CloudOctober 2009 - JBoss Cloud
October 2009 - JBoss CloudJBug Italy
 
JBoss Clouds - JBug Roma october 2009
JBoss Clouds - JBug Roma october 2009JBoss Clouds - JBug Roma october 2009
JBoss Clouds - JBug Roma october 2009Sanne Grinovero
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS Imola Informatica
 
Jc06 Antonio Terreno Fluidtime
Jc06 Antonio Terreno FluidtimeJc06 Antonio Terreno Fluidtime
Jc06 Antonio Terreno FluidtimeAntonio Terreno
 
Fmdp Total System Monitor
Fmdp Total System MonitorFmdp Total System Monitor
Fmdp Total System MonitorFilippo Maria Del Prete
 
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDB
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDBPolyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDB
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDBSteve Maraspin
 
Dal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementDal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementStefano Arduini
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
I Linguaggi Del Web (2° Giornata)
I Linguaggi Del Web (2° Giornata)I Linguaggi Del Web (2° Giornata)
I Linguaggi Del Web (2° Giornata)Diego La Monica
 
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...Meet Magento Italy
 
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato Client
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato ClientLaboratorio Di Basi Di Dati 06 Programmazione Web Lato Client
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato Clientguestbe916c
 
Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012alexzio
 
OrientDB & Big Data
OrientDB & Big DataOrientDB & Big Data
OrientDB & Big DataLuca Bianconi
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
 
Virtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceVirtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceMarco Vanino
 
Prodigyt at Next Step IBMi, 11 luglio 2017
Prodigyt at Next Step IBMi, 11 luglio 2017Prodigyt at Next Step IBMi, 11 luglio 2017
Prodigyt at Next Step IBMi, 11 luglio 2017Ruggero Borgonovo
 
Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecPaolo Stagno
 
Sviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi MobiliSviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi MobiliDominopoint - Italian Lotus User Group
 

More Related Content

Similar to Integrazione e sviluppo di una piattaforma per la gestione delle conformità allo standard pci-dss

phpday 2006 - SEA case study
phpday 2006 - SEA case studyphpday 2006 - SEA case study
phpday 2006 - SEA case studyGaetano Giunta
 
October 2009 - JBoss Cloud
October 2009 - JBoss CloudOctober 2009 - JBoss Cloud
October 2009 - JBoss CloudJBug Italy
 
JBoss Clouds - JBug Roma october 2009
JBoss Clouds - JBug Roma october 2009JBoss Clouds - JBug Roma october 2009
JBoss Clouds - JBug Roma october 2009Sanne Grinovero
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS Imola Informatica
 
Jc06 Antonio Terreno Fluidtime
Jc06 Antonio Terreno FluidtimeJc06 Antonio Terreno Fluidtime
Jc06 Antonio Terreno FluidtimeAntonio Terreno
 
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDB
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDBPolyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDB
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDBSteve Maraspin
 
Dal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementDal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementStefano Arduini
 
I Linguaggi Del Web (2° Giornata)
I Linguaggi Del Web (2° Giornata)I Linguaggi Del Web (2° Giornata)
I Linguaggi Del Web (2° Giornata)Diego La Monica
 
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...Meet Magento Italy
 
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato Client
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato ClientLaboratorio Di Basi Di Dati 06 Programmazione Web Lato Client
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato Clientguestbe916c
 
Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012alexzio
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
 
Virtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceVirtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceMarco Vanino
 
Prodigyt at Next Step IBMi, 11 luglio 2017
Prodigyt at Next Step IBMi, 11 luglio 2017Prodigyt at Next Step IBMi, 11 luglio 2017
Prodigyt at Next Step IBMi, 11 luglio 2017Ruggero Borgonovo
 
Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecPaolo Stagno
 

Similar to Integrazione e sviluppo di una piattaforma per la gestione delle conformità allo standard pci-dss (20)

phpday 2006 - SEA case study
phpday 2006 - SEA case studyphpday 2006 - SEA case study
phpday 2006 - SEA case study
 
Intel AppUp Webinar Italiano html5
Intel AppUp Webinar Italiano html5Intel AppUp Webinar Italiano html5
Intel AppUp Webinar Italiano html5
 
October 2009 - JBoss Cloud
October 2009 - JBoss CloudOctober 2009 - JBoss Cloud
October 2009 - JBoss Cloud
 
JBoss Clouds - JBug Roma october 2009
JBoss Clouds - JBug Roma october 2009JBoss Clouds - JBug Roma october 2009
JBoss Clouds - JBug Roma october 2009
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
 
Jc06 Antonio Terreno Fluidtime
Jc06 Antonio Terreno FluidtimeJc06 Antonio Terreno Fluidtime
Jc06 Antonio Terreno Fluidtime
 
Fmdp Total System Monitor
Fmdp Total System MonitorFmdp Total System Monitor
Fmdp Total System Monitor
 
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDB
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDBPolyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDB
Polyglot Persistance con PostgreSQL, CouchDB, MongoDB, Redis e OrientDB
 
Dal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service managementDal monitoraggio dell’infrastruttura it al business service management
Dal monitoraggio dell’infrastruttura it al business service management
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
I Linguaggi Del Web (2° Giornata)
I Linguaggi Del Web (2° Giornata)I Linguaggi Del Web (2° Giornata)
I Linguaggi Del Web (2° Giornata)
 
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...
Marco Zani: Come dimensionare Magento per raggiungere i Key Performance Indic...
 
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato Client
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato ClientLaboratorio Di Basi Di Dati 06 Programmazione Web Lato Client
Laboratorio Di Basi Di Dati 06 Programmazione Web Lato Client
 
Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012Nord-Est Italy Seminars 2012
Nord-Est Italy Seminars 2012
 
OrientDB & Big Data
OrientDB & Big DataOrientDB & Big Data
OrientDB & Big Data
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
 
Virtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open SourceVirtualizzazione e Network Management Open Source
Virtualizzazione e Network Management Open Source
 
Prodigyt at Next Step IBMi, 11 luglio 2017
Prodigyt at Next Step IBMi, 11 luglio 2017Prodigyt at Next Step IBMi, 11 luglio 2017
Prodigyt at Next Step IBMi, 11 luglio 2017
 
Android (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSecAndroid (Un)Security Guidelines - VoidSec
Android (Un)Security Guidelines - VoidSec
 
Sviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi MobiliSviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi Mobili
 

Integrazione e sviluppo di una piattaforma per la gestione delle conformità allo standard pci-dss

  • 1. Integrazione e sviluppo di una piattaforma per la gestione delle conformità allo standard PCI-DSS Laureando Alessandro Umek Relatore Prof. Alberto Bartoli Correlatore Enrico Milanese Anno accademico 2014-2015
  • 2. Lo standard PCI-DSS PCI – Consorzio emittenti carte di credito PCI-DSS – Standard per sviluppo soluzioni per trasmissione, la memorizzazione o l'utilizzo di carte di credito Requisito fondamentale – Analisi vulnerabilità infrastruttura pubblica Approved scanning vendor – Società certificata eseguire analisi
  • 3. Vulnerability Assesment Software per scansioni automatiche – Input: indirizzi ip pubblici del cliente – Output: report xml ● Ip scansionati – Porte aperte, vulnerabilità, avvisi – Valutazione di vulnerabilità ● Valutazione complessiva vulnerabilità Risultato – Documenti pdf generati dai dati dell'output xml
  • 4. Problema Risultati scansioni non sempre esatti – Falsi positivi – Falsi negativi Modifica manuale estramamente onerosa – Tanti dati da aggiungere – Troppi dati da ricalcolare
  • 5. Situazione preesistente ipLegion – scansione infrastruttura pubblica ➢ Database delle vulnerabilità (emvdb) PciGen – modifica dei report PciWebApp – gestione clienti, contratti, scansioni ● Database delle analisi EmvDB Database Delle Analisi IpLegion PciWebApp PciGen
  • 6. Situazione preesistente: problema Modifica report ancora troppo onerosa ➔ applicativi non comunicano Esempio aggiunta vulnerabilità ➢ Individuazione id vulnerabilità (ipLegion) ➢ Aggiunta vulnerabilità e generazione report (PciGen) ➢ Salvataggio documentazione aggiornata (PciWebApp) EmvDB Database Delle Analisi IpLegion PciWebApp PciGen
  • 7. Soluzione Integrare nuove funzionalità nella piattaforma PciWebApp – centralizzare tutte lo operazioni su un unico applicativo – modificare i report di vulnerability assessment tramite GUI – facilitare la creazione di report aggiornati EmvDB Database Delle Analisi PciWebApp PciGen
  • 8. Analisi e progettazione Attività per implentare le funzionalità: – Parsing xml – Visualizzazione e modifica delle analisi – Integrazione Emvdb – Integrazione PciGen
  • 9. Struttura report (molto semplificata) ➢ Host (indirizzo ip) ➢ Porte ➢ Protocollo tcp/udp ➢ Numero porta ➢ Nome servizio ➢ Vulnerabilità ➢ Confermata, potenziale, avviso ➢ Id ➢ Nome ➢ Livello di rischio ➢ ... ➢ Standard (nome e valore) ➢ Istanza (servizio)
  • 10. Entità Individuate sulla base di: – Operazioni da svolgere – Dati valutazione del sistema – Dati non ridondanti
  • 12. Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Elenco host ➢ Selezione host ➢ Caricamento dati relativi
  • 13. Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Visualizzazione porte aperte ➢ Aggiunta, rimozione
  • 14. Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Pannello delle vulnerabilità ➢ Elenco vulnerabilità ➢ Aggiunta e rimozione ➢ Dettaglio ➢ Aggiunta e rimozione istanze
  • 15. Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Pannello delle vulnerabilità ➢ Pannello delle modifiche ➢ Elenco modifiche ➢ Rimozione di una modifica
  • 16. Progettazione grafica ➢ Single page ➢ Panello degli host ➢ Pannello delle porte ➢ Pannello delle vulnerabilità ➢ Pannello delle modifiche ➢ Finestre modali ➢ Finestra di ricerca ➢ Emvdb ➢ Finestra di riepilogo ➢ Conferma prima del salvataggio
  • 17. L'applicazione esistente Linguaggi – Java – Javascript Framework – Spring Framework – ExtJs Design pattern – MVC – Facade – Package core ● Accesso ai dati – Package mail ● Invio di notifiche email – Package web ● Elaborazione richieste web – Interfaccia grafica – File di configurazione ● Dependency Injection ● Security ● ...
  • 19. Implementazione: Interfaccia grafica ➢ Pagina del report ➢ Dettaglio vulnerabilità
  • 20. Implementazione: Interfaccia grafica ➢ Finestra di ricerca emvdb ➢ filtri ➢ paginazione
  • 21. Implementazione: Interfaccia grafica ➢ Finestra di riepilogo Modifiche suddivise per: ➢ Ip ➢ Entità ➢ Operazione
  • 22. Implementazione: nuovi package Package xml ● Model – POJO a partire delle entità ● Repository – Lettura dei dati dall'xml ● PciGen – Integrazione PciGen ● Facade Package emvdb ● Repository – Lettura dati da emvb ● Facade
  • 23. Implementazione: controller e configurazione ● Package web – XmlController ● Richieste lettura xml ● Ricezione delle modifiche – EmvdbController ● Richieste lettura database vulnerabilità ● Configurazione – Istanziati service, repository e datasource emvdb – Nuovi file di properties
  • 24. Conclusioni ● Gli obiettivi previsti sono stati raggiunti ● Piattaforma in produzione ● Sviluppi futuri – Integrazione con il software ipLegion ● Programmare le analisi ● Recuperare i risultati – Possibilità marcare vulnerabilità come PciPass