.
Ogni azienda oggi utilizza molti tipi diversi di Web application, dalle webmail ai servizi bancari, Intranet e così via. In questo contesto, verificare, certificare e garantire la sicurezza è indispensabile, anche e soprattutto perché si tratta di funzionalità esposte, per loro stessa natura.
Le web application sono ormai parte integrante di ogni sistema informativo aziendale, imprescindibili strumenti per servizi di varia natura, interni o esterni: webmail, portali Intranet, e-procurement, supporto clienti, home banking, condivisione di file e molto altro ancora. La Web vulnerability è un tema complesso, soprattutto perché le debolezze in questo settore diventano rapidamente note e vengono ampiamente utilizzate per effettuare attacchi ad aziende e privati.
Come funziona un Web Application Penetration Test
CryptoNet Labs verifica il livello di sicurezza delle applicazioni web attraverso specifici Vulnerability Assessment e Penetration Test, basati sulle metodologie internazionali di riferimento (una su tutte OWASP, Open Web Application Security Project, https://owasp.org). Seguono controlli sia in modalità black-box, senza cioè disporre di conoscenza pregressa sui target, e senza avere a disposizione credenziali utente, sia in modalità autenticata.
Verificare le vulnerabilità presenti dopo l’autenticazione mette l’azienda al sicuro anche da eventuali abusi interni, oppure da ulteriori problematiche in caso di data leak.
Il Penetration test di web application richiede un controllo su due livelli: sia tecnico sia entrando nel merito della logica di business.
I test svolti coprono l’area tecnica — ricerche di Cross-Site Scripting (XSS), SQL Injection, Insecure Direct Object Reference (IDOR), Local File Include (LFI) o altre vulnerabilità — ma si concentrano anche sulla logica applicativa, per individuare ogni possibile abuso. Questa seconda serie di controlli è indispensabile per garantire la completa sicurezza. Molto spesso infatti i vulnerability assessment su web application mostrano debolezze e vulnerabilità a livello della propria logica. In altre parole, non è necessario per un eventuale attaccante individuare problemi di natura tecnica (ad es. una SQL Injection), ma semplicemente sovvertire assunti effettuati in fase di progettazione e sviluppo della piattaforma. Ad esempio in un form di upload di documenti cosa succede se al posto di un docx o un PDF (cosa che lo sviluppatore può avere dato per scontata) carico uno script?
Come avviene un Web Application Penetration Test
I nostri professionisti, facendo leva sulla propria esperienza e sfruttando una ottimale combinazione di strumenti commerciali e open source, forniscono un ampio e approfondito grado di messa a fuoco dei punti deboli che con maggior frequenza o con maggiore pericolosità possono colpire le web application.
I test passano in rassegna tutte le categorie di analisi fondamentali: autenticazione, autorizzazione, gestione della sessione, gestione degli errori, crittografia, validazione degli input e verifica della business logic.
Il servizio può essere applicato anche a web services SOAP o REST.
Le best practices seguite da CryptoNet Labs prevedono che tutti i test di vulnerabilità vengano effettuati in un contesto il più possibile vicino al mondo reale. Questa tecnica si rende particolarmente necessaria in presenza di web application di terze parti, che sempre più spesso si appoggiano a sistemi non proprietari, per esempio API di autenticazione, che potrebbero rivelarsi il vero anello debole della catena, e che possono essere evidenziate solo simulando il più possibile il comportamento di un utente, o di un attaccante, esterno alle logiche aziendali.
I risultati così ottenuti verranno poi utilizzati per suggerire e indicare le contromisure necessarie per migliorare la sicurezza delle web application utilizzate. Generalmente le soluzioni possibili vanno dall’adozione di buone pratiche (soprattutto per i servizi di terze parti), alla correzione degli errori di progettazione e programmazione e all’adozione di ulteriori soluzioni per l’incremento della solidità dell’infrastruttura, come un Web Application Firewall, o al potenziamento delle contromisure eventualmente già presenti.
Chi ne può beneficiare
Web Application Penetration Test e Vulnerability Assessment sono necessari a tutte le aziende e organizzazioni che sfruttano applicazioni web-based per erogare servizi critici per il business o sensibili. In particolare in relazione alla tipologia di dati trattati, verso clienti, dipendenti o partner. Attraverso i nostri test e le nostre verifiche è possibile per l’azienda individuare i punti più vulnerabili a eventuali attacchi. In seguito potrà sfruttare le conoscenze acquisite per garantire la piena compliance con i regolamenti e gli standard di settore come PCI DSS e GDPR, e anticipare qualsiasi problematica, sia di carattere operativo sia di carattere legale.