Cos’è il Web Application Penetration Test?
Il Web Application Penetration Test (WAPT) rappresenta un servizio di sicurezza applicativa necessario a misurare il livello di protezione di una applicazione web o di un software; quindi non è altro che è un penetration test mirato alle applicazioni Web per scoprire vulnerabilità di sicurezza e potenziali punti di accesso vulnerabili sfruttabili da un attaccante. Questo tipo di Penetration Test è importante perché evidenzia falle a livello applicativo e/o nel codice all’interno di un’applicazione Web e consente a un’organizzazione di rimediare alle vulnerabilità prima che un malintenzionato possa lanciare un attacco.
Perché fare il WAPT?
Effettuando WAPT costanti, potrai prevenire attacchi reali che provocherebbero irrimediabilmente oltre a danni economici ingenti, danni di reputazione all’azienda.
Non permettere a malintenzionati di prendere il possesso dei tuoi dati e del tuo sito internet compreso delle applicazioni web in esso contenute.
I principali benefici della WAPT di SafeBreach sono i seguenti:
I nostri esperti effettuano analisi accurata ed approfondita del sito web e delle applicazioni che girano in esso, alla ricerca di vulnerabilità di sicurezza e forniranno tutte le indicazioni utili attraverso reportistica, per rimediare alle vulnerabilità e migliorare la posizione di rischio per la sicurezza delle applicazioni della tua organizzazione.
Come si svolge il WAPT?
Durante lo svolgimento dei test, sarà attivo un sistema di monitoraggio che verificherà la responsività ed il corretto funzionamento dei servizi critici precedentemente concordati, successivamente i nostri esperti incaricati provvederanno a:
Verificare che nelle varie componenti dell’applicazione web non siano presenti vulnerabilità o problematiche di sicurezza che possano portare ad un accesso illegale alle componenti dell’applicazione o ai dati da essa veicolata.
1 Identificare eventuali utenze con credenziali (username/password) facilmente deducibili, risorse non pubblicamente disponibili (url “nascosti”, etc.) ed altre informazioni utili ai fini di un attacco
2 Effettuare una simulazione di attacco mirata ad accedere ai dati contenuti nei sistemi, sovvertire il normale funzionamento delle applicazioni attraverso le diverse metodologie di attacco attualmente conosciute: prima si procederà alla mappatura completa delle componenti/pagine esposte e ad identificarne eventuali “nascoste”, quindi si proverà a sovvertirne il normale funzionamento, ad esempio inserendo/modificando parametri malformati ad arte (header, url, cookies, parametri, campi, etc.), alla ricerca di vulnerabilità di vario genere (errori nella gestione dell’autenticazione, componenti/risorse accessibili senza autenticazione, possibilità di “iniettare” comandi os, sql o script e più in generale carente validazione dell’input e dell’output, problematiche nella gestione di errori ed eccezioni, cross site scripting, etc.).
3 Approfondire l’analisi per le sezioni accessibili solamente tramite credenziali (che saranno fornite dal cliente, in relazione ai differenti ruoli), per verificare l’accesso a contenuti ristretti, come la possibilità di abusare del proprio ruolo.
4 I nostri esperti effettuano analisi accurate ed approfondite del sito web e delle applicazioni che girano in esso, alla ricerca di vulnerabilità di sicurezza e forniranno tutte le indicazioni utili attraverso reportistica, per rimediare alle vulnerabilità e migliorare la posizione di rischio per la sicurezza delle applicazioni della tua organizzazione.
Risultati e reportistica
Una volta ultimato il test verranno redatti dei documenti che verranno successivamente passati al management aziendale e agli sviluppatori del software, allo scopo di informarli di quanto riscontrato in modo tale da avviare le operazioni di correzione delle vulnerabilità rilevate.
Verranno rilasciati due tipi di report:
I risultati verranno illustrati durante una presentazione per il management ed una sessione di dimostrazione ed approfondimento per lo staff tecnico.
Cookie | Durata | Descrizione |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |