Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Concorso 2016 - A041

Ambito: Relational DBMS SQL-Injection
by

Christian Fraccola

on 12 September 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Concorso 2016 - A041

CONCLUSIONE
Thank you!
Strumenti e materiali
Prima di attuare delle scelte metodologiche e didattiche è necessario:
- collocazione nella programmazione curricolare
- fare riferimento alla normativa (Dall'UE al POF)
- analisi del contesto e l'aspetto interdisciplinare
- prerequisiti
- obiettivi specifici e generali
- strumenti e materiali
- metodologie e strategie didattiche
- tempi di attuazione


Candidato:
A041 - SCIENZE E TECNOLOGIE
INFORMATICHE
Fraccola
Christian
Classe di Concorso:
Traccia n° 27
Relational Data Base Management Systems

SQL Injection
La lezione dovrà essere proceduta da una breve illustrazione delle scelte contenutistiche, didattiche e metodologie compiute.
Contesto
Istituto:
Istituto Tecnico Industriale
Settore:
Settore Tecnologico
Indirizzo:
Informatica e telecom.
Articolazione:
Informatica
Materia:
Informatica
Classe:
5a
Periodo:
2° periodo
Interdisciplinarità
Prerequisiti
RIFERIMENTO ALLE
COMPETENZE CHIAVE DI CITTADINANZA:
Riferimento al
"Regolamento recante norme in materia di adempimento dell'obbligo di istruzione"
Imparare ad imparare
Progettare
Comunicare
Collaborare e partecipare
Agire in modo autonomo
Risolvere problemi
Individurare collegamenti e relazioni
Acquisire ed interpretare l'informazione
Comunicazione nella
madrelingua
Comunicazione
nelle lingue straniere
Competenza digitale
Imparare ad imparare
Metodologie e strategie didattiche
Tempi:

NICHELINO,09/07/2016
OBIETTIVI
(Conoscenze)
conoscere le debolezze di un DBMS
conoscere il principio del SQL-Injection
comprendere l'importanza della validazione dei parametri

OBIETTIVI
(Abilità)
Saper inserire il codice SQL
Saper leggere i messaggi di MySql
Saper usare nuove funzioni PHP legate agli aspetti di sicurezza

Obiettivi
(Competenze)
saper prevenire semplici attacchi di tipo SQL Injection
riconoscere i punti di debolezza di una pagina PHP
essere consapevoli dei rischi e delle problematiche relative alla sicurezza
Obiettivi
didattici
OBIETTIVI
Educativi
Favorire l'instaurarsi di un clima sereno nella classe
Maturare atteggiamenti di comprensione, confronto e tolleranza verso gli altri e rispetto per l'ambiente
Abituare alla puntualità e alla serietà nello svolgimento dei lavori scolastici
Guidare gli studenti ad acquisire capacità di autovalutazione
OBIETTIVI
Cognitivi
Promuovere la capacità di ascolto, comprensione e comunicazione
Ampliare le capacità espressive attraverso l'acquisizione di un linguaggio corretto e appropriato
Avviare ad un uso corretto e autonomo degli strumenti di lavoro
Favorire l'acquisizione di un metodo di studio e di lavoro proficuo
Maturare capacità logiche
Obiettivi
trasversali
FASE CONCLUSIVA

DALLA VERIFICA ALLA VALUTAZIONE
Valutazione
- Conoscenze,abilità e competenze nell'utilizzo degli strumenti tenendo conto della tabella di valutazione definita nell'ambito del coordinamento della disciplina.

Inoltre: partecipazione, impegno, comportamento, progressi/regressi
Attività di approfondimento
Per gli alunni che non presentano carenze si vanno ad approfondire e/o potenziare le proprie conoscenze, abilità e competenze
.

es.Sqlmap : strumento open source
per testare la vulnerabilità delle WebApp
Attività di recupero
Recupero delle carenze eventualmente rilevate in alcuni alunni
Attività di monitoraggio
Osservazione durante l'attività di laboratorio e dialogo continuo
Verifica sommativa
Dalla traccia alla lezione...
Libro di testo (in adozione)
Presentazioni multimediali (es. Prezi)
Social Learning (es. Fidenia)
Appunti


Computer di laboratorio
Browser
Ambiente di sviluppo per applicazioni server (es. XAMPP)
Linee guida|Secondo ciclo di istruzione
POF
Il candidato simuli una lezione con riferimento al seguente

- Ambito:

- Quesito:
Scelte didattiche
e metodologiche

Conoscere
i concetti di
Relational DBMS
e di modellazione dei dati
Saper gestire
una base di dati:
- definire
- interrogare
- manipolare
- controllare
Conoscere
il funzionamento Client-Server
Conoscere
i linguaggi base del Web
Saper strutturare una pagina Web di tipo dinamico
MySQL
SQL
PHP
+
AZIONE DIDATTICA
INTRO
Lezione
frontale
dialogata
ATTIVITÀ A GRUPPI
Apprendimento
cooperativo
ATTIVITÀ DI
LABORATORIO
Learning
by doing
ATTIVITÀ DI
LABORATORIO
Problem posing e problem solving
Vulnerabilità
delle WebApp
SQL INJECTION
Un particolare tipo di attacco:
- "inietta" del codice SQL
- aggiunge un comando SQL
- senza autorizzazione

Competenze in uscita
INFORMATICA
SISTEMI
E RETI
TPSIT
HTML
I contenuti
Presenza
di DSA
Strumenti
compensativi
sintesi vocale
registrazione delle lezioni
elaboratore
schede riassuntive
mappe concettuali

Misure
compensative
tempi più lunghi per lo svolgimento o riduzione del carico di lavoro,
valorizzazione dei contenuti,
maggior tolleranza con la terminologia specifica

Prova pratica:
1) attacco SQL Injection
2) prevenzione in PHP
FASE INIZIALE
Esempio 1
FASE CENTRALE
Osservazioni e criticità
FASE PRELIMINARE

Programmazione curricolare
FASE PRELIMINARE
Esempio 2
FASE CENTRALE
Spiegazione criticità
Debriefing
Possibili soluzioni?
Come si può evitare?
Che tipo di controllo?
Come si può evitare l'accesso?
FASE PRELIMINARE
Esempio 3
FASE CENTRALE
Esempio 3
FASE AVANZATA
Attività pratica
(Learning by-doing)
Brain-Storming
Domande, confronto
e idee


Come si può evitare?
Spazio: Laboratorio d'informatica
Tempo: 1h
GRUPPI
Dimensione: 2 o 3 persone a gruppo
Composizione: Eterogenei

Tasks:
- Attaccare una pagina PHP
- Operare migliorie al codice PHP
3h
1h
1h
lezione dialogata alternata ad attività di laboratorio
Verifica
SOMMATIVA
recuperi
e
approfondimenti
Ore previste: 5
Trasformazione della stringa sostituendo i caratteri..
Validazione dai caratteri inseriti..
Evitare parole che possono risultare comandi SQL
....
Validazione dai caratteri inseriti..
Evitare parole che possono risultare comandi SQL
Debriefing
FASE CONLUSIVA
Possibili accenni
Protezione avanzata
(Dal programma di Sistemi e reti)

-L'algoritmo Message Digest 5(MD5)
-La funzione Crpyt () di PHP

Competenze matematica
Competenze sociali
e civiche
Spirio di iniziativa e imprenditorialità
Full transcript