Web App Penetration Test

Web App Penetration Test

SERVICE OVERVIEW

Nell’era digitale che stiamo vivendo, tantissime sono le attività che svolgiamo per mezzo di applicazioni web/mobile, dalla semplice prenotazione del ristorante al più “delicato” ritiro di un referto medico. Tutti i nostri dati vengono inseriti e processati da innumerevoli applicazioni web come portali, siti, gestionali, che per legge (GDPR) dovrebbero garantire un minimo di privacy.

Purtroppo moltissime applicazioni web, per loro natura complesse, sono estremamente esposte e vulnerabili, di conseguenza diventano critiche per qualsiasi business o ente.

Allo scopo di identificare i problemi di sicurezza di un’applicazione web, derivati da scrittura di codice non sicuro, errate configurazioni dei server e dei sistemi di protezione (misconfiguration) ecc, si effettua un test molto approfondito che prende il nome di Penetration Test.

Nello specifico Il Web Application Penetration Test (WAPT) è un processo di valutazione della sicurezza di un’applicazione web, che prevede la scansione dell’applicazione e la stimolazione tramite input inattesi per individuare eventuali vulnerabilità e stimarne l’impatto potenziale. Segue un piano d’azione per risolvere le criticità individuate. L’attività viene svolta da una figura altamente specializzata che prende il nome di  Ethical Hacker.

Quali sono le fasi operative di un WAPT?

L’attività di penetration test applicativo è svolta adottando la metodologia OWASP (Open Web Application Security Project), delineata nella OWASP Testing Guide v4.0 e in  “NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment” ed affinata ad-hoc sulla base dell’esperienza del nostro team di specialisti.

Target Scouting

Esplorazione ed analisi, manuale e supportata da strumenti automatici, dell’ecosistema applicativo. Enumerazione ed analisi delle funzionalità, dei meccanismi di autenticazione, delle interfacce e punti di input con lo scopo di individuare gli elementi critici e focali.

Vulnerability Discovery

Analisi iterativa ed approfondita, manuale e supportata da strumenti automatici, dell’applicazione tramite test, richieste, pattern ed operazioni appositamente strutturate per evidenziare la presenza di specifiche vulnerabilità tecniche e logiche.

Vulnerability Exploitation

Sfruttamento delle vulnerabilità identificate finalizzato a dimostrare in modo concreto la fattibilità di un’intrusione. Progettazione ed esecuzione di scenari d’attacco complessi  finalizzati ad un duplice livello di compromissione: livello applicativo e livello sistemico

REPORT GENERATO

Al termine delle attività di assessmet viene predisposto il Web Application Penetration Test Report che è un documento semplice ma molto dettagliato ed esaustivo contenente i dettagli e i risultati dell’attività svolte:

Executive Summary

Sezione introduttiva con descrizione delle metodologie/tool utilizzati e sintesi dei risultati

Vulnerability Details

Sezione contenente il dettaglio tecnico delle vulnerabilità/criticità individuate durante il Pen Test

Remediation Plan

Sezione in cui vengono riportate le contromisure che devono essere adottate/implementate

Il Web Application Penetration Test è fondamentale per valutare correttamente la sicurezza di una web application ed intervenire prima che sia troppo tardi.

Potrebbero interessarti