Cosa si intende per Web Application

Un’applicazione Web è un’applicazione software a cui si accede tramite Internet tramite un browser Web. Le applicazioni Web sono progettate per essere utilizzate da più utenti e sono accessibili da qualsiasi dispositivo dotato di connessione Internet. Sono spesso utilizzati per fornire servizi online o per interagire con database o altri sistemi.

Le web application sono ormai parte integrante di ogni sistema informativo aziendale, imprescindibili strumenti per servizi di varia natura, interni o esterni: webmail, portali Intranet, e-procurement, supporto clienti, home banking, condivisione di file e molto altro ancora. La Web vulnerability è un tema complesso, soprattutto perché le debolezze in questo settore diventano rapidamente note e vengono ampiamente utilizzate per effettuare attacchi ad aziende e privati.

Ogni azienda oggi utilizza molti tipi diversi di Web application, dalle webmail ai servizi bancari, Intranet e così via. In questo contesto, verificare, certificare e garantire la sicurezza è indispensabile, anche e soprattutto perché si tratta di funzionalità esposte, per loro stessa natura.

Come funziona un web application penetration Test

Safecore verifica il livello di sicurezza delle applicazioni web attraverso specifici Vulnerability Assessment e Penetration Test, basati sulle metodologie internazionali di riferimento (una su tutte OWASP, Open Web Application Security Project, https://owasp.org).
Seguono controlli sia in modalità black-box, senza cioè disporre di conoscenza pregressa sui target, e senza avere a disposizione credenziali utente, sia in modalità autenticata. Verificare le vulnerabilità presenti dopo l’autenticazione mette l’azienda al sicuro anche da eventuali abusi interni, oppure da ulteriori problematiche in caso di data leak.

Il Penetration test di web application richiede un controllo su due livelli: sia tecnico sia entrando nel merito della logica di business.

Il doppio controllo

I test svolti coprono l’area tecnica ma si concentrano anche sulla logica applicativa, per individuare ogni possibile abuso.
Questa seconda serie di controlli è indispensabile per garantire la completa sicurezza.

Molto spesso infatti i vulnerability assessment su web application mostrano debolezze e vulnerabilità a livello della propria logica. In altre parole, non è necessario per un eventuale attaccante individuare problemi di natura tecnica, ma semplicemente sfruttare errori effettuati in fase di progettazione e sviluppo della piattaforma.

In cosa consiste un web application penetration test

Il Web App Pentest consiste in una vera e propria simulazione di un attacco hacker con l’obiettivo di testare il livello di protezione e di sicurezza dei portali web.
Per prima cosa effettuiamo un’approfondita ricerca per individuare le vulnerabilità presenti nei sistemi, avvalendoci di tools specifici e di test manuali. Una volta individuati gli entry point, procediamo con la fase di simulazione di un attacco hacker vero e proprio.

Lo scopo primario del penetration test di una piattaforma online è quello di provare a prendere il controllo del sito e, in base al perimetro da testare concordato, provare ad arrivare anche alla rete e all’intera infrastruttura aziendale. Infatti se ciò dovesse verificarsi da parte di un hacker, la sicurezza aziendale sarebbe altamente compromessa in quanto l’intruso sarebbe in grado di prelevare dati dal backend del sito, scaricare file privati, modificare le password e disconnettere dal portale tutti gli altri utenti.

Come avviene un web application penetration Test

I nostri professionisti, facendo leva sulla propria esperienza e sfruttando una ottimale combinazione di strumenti commerciali e open source, forniscono un ampio e approfondito grado di messa a fuoco dei punti deboli che con maggior frequenza o con maggiore pericolosità possono colpire le web application.

I test passano in rassegna tutte le categorie di analisi fondamentali: autenticazione, autorizzazione, gestione della sessione, gestione degli errori, crittografia, validazione degli input e verifica della business logic.

Il servizio può essere applicato anche a web services SOAP o REST. Le best practices seguite da Safecore prevedono che tutti i test di vulnerabilità vengano effettuati in un contesto il più possibile vicino al mondo reale.

L'output di un WAPT

Al termine della simulazione effettuata, il nostro team analizza a fondo i risultati del pentest per riportare all’azienda tutto ciò che è emerso in modo chiaro e dettagliato.

L’output sarà dunque un report completamente personalizzato sul livello di sicurezza della web app analizzata. Il nostro report comprende:

  • La descrizione di tutte le azioni di test intraprese dai nostri specialisti;
  • I dettagli delle vulnerabilità presenti sulla web app analizzata;
  • Il livello di criticità delle vulnerabilità riscontrate.


L'utilizzo dei risultati ottenuti

Grazie ai risultati emersi dal WAPT effettuato, il nostro team di specialisti potrà aiutare la tua azienda ad attuare tutte le strategie correttive necessarie per migliorare i livelli di cyber sicurezza e prevenire efficacemente i furti di dati online.

I risultati ottenuti verranno così utilizzati per suggerire e indicare le contromisure necessarie per migliorare la sicurezza delle web application utilizzate. Generalmente le soluzioni possibili vanno dall’adozione di buone pratiche, alla correzione degli errori di progettazione e programmazione e all’adozione di ulteriori soluzioni per l’incremento della solidità dell’infrastruttura, come un Web Application Firewall, o al potenziamento delle contromisure eventualmente già presenti.

Chi ne può beneficiare?

Web Application Penetration Test e Vulnerability Assessment sono necessari a tutte le aziende e organizzazioni che sfruttano applicazioni web-based per erogare servizi critici per il business. In particolare in relazione alla tipologia di dati trattati, verso clienti, dipendenti o partner. Attraverso i nostri test e le nostre verifiche è possibile per l’azienda individuare i punti più vulnerabili a eventuali attacchi. In seguito potrà sfruttare le conoscenze acquisite per garantire la piena compliance con i regolamenti e gli standard di settore come PCI DSS e GDPR, e anticipare qualsiasi problematica, sia di carattere operativo sia di carattere legale.

Group 2 Copy 3
Compila il form per ricevere via email il template report.
SAFECORE VIRTUAL ROOM

Benvenuto

Il nostro spazio digitale è a tua disposizione!

Scegli come interagire
Comincia da qui, puoi iniziare una nuova conversazione se il consulente è disponibile oppure prenotare il tuo appuntamento.

Parla con un consulente

Prenota un appuntamento