Overview
Perché far trovare agli hacker le vulnerabilità delle tue applicazioni? Con Foundstone puoi individuare e risolvere preventivamente i punti deboli della tua infrastruttura. Foundstone può tutelare la reputazione della tua azienda e impedire cali di profitto.
Secondo una stima del NIST (National Institute of Standards and Technology) fino al 92% delle vulnerabilità attuali sono situate a livello di applicazione. Quasi tutte le principali applicazioni in uso oggi hanno subito almeno una volta le conseguenze di una vulnerabilità grave, che ha portato a un calo delle vendite e minato la reputazione e la fiducia dei clienti. Il servizio che offre il test di penetrazione delle applicazioni Foundstone analizza un'applicazione dal punto di vista di un hacker e ne individua le falle prima che queste siano rese note pubblicamente e sfruttate.
Vantaggi principali
- Individuazione delle vulnerabilità nelle applicazioni prima degli hacker.
- Esecuzione di un controllo della qualità prima del rilascio delle applicazioni.
- Comprensione dei rischi e del potenziale impatto sull'azienda e i prodotti.
- Il nostro test manuale sull'accuratezza e l'efficacia è completamente sicuro.
- Trasferimento attivo delle conoscenze sulle tecniche di test, le problematiche e le azioni di rimedio.
Methodology
Il test inizia con un'analisi statica degli eseguibili binari e delle librerie che costituiscono l'applicazione. Le scansioni a livello di server cercano vulnerabilità note ed errori di configurazione comuni. I nostri consulenti che svolgono la prova di penetrazione eseguono poi un processo di indagine per raccogliere informazioni sull'applicazione e cercare vulnerabilità legate alla divulgazione di informazioni riservate come password, chiavi di crittografia o dati sui clienti. Una volta raccolti questi dati, Foundstone conduce il test vero e proprio che prevede:
- Test sulla gestione della configurazione, inclusa la scoperta della presenza di informazioni sensibili nei file di configurazione. Vengono anche cercate le informazioni sull'ambiente che possono essere manipolate per alterare il funzionamento dell'applicazione, nonché i segreti e le stringhe di testo presenti nei file binari o nella memoria dell'applicazione.
- Esame della protezione dei dati archiviati o in transito, quando le informazioni sensibili vengono comunicate all'interno della rete o memorizzate su un disco o nel database.
- Test sulle autenticazioni e le autorizzazioni per determinare le possibilità di elusione dei filtri o di escalation dei privilegi.
- Controlli della sessione e dello stato per individuare i tentativi di presa di controllo delle sessioni o altri attacchi di questo tipo.
- Test sulla convalida dei dati per rilevare problematiche come le vulnerabilità SQL injection e buffer overflow.
- Test sulla gestione di errori ed eccezioni che tentano di forzare l'accesso a un'applicazione pericolosa o di causare la divulgazione di informazioni attraverso l'accesso non autorizzato al file di dump.
- Controllo dell'auditing e degli accessi in cui si tenta di corrompere i processi di audit, creare voci di registro false, scoprire informazioni sensibili nei file di registro o utilizzare il meccanismo di accesso come vettore di attacco.
Nel corso di tutti questi test, l'obiettivo principale è compromettere la sicurezza dei server, degli agent remoti e dei client dell'applicazione. Inoltre, Foundstone cerca le vulnerabilità dell'applicazione che potrebbero permettere all'autore di un attacco di ottenere l'accesso al sistema operativo sottostante o ai server backend del database.
Resources
Foundstone Hacme Bank v2.0 Software Security Training Application (English)
Hacme Bank teaches application developers, programmers, software architects, and security professionals how to create secure software by attempting to exploit vulnerabilities and implement remediations in a simulated online banking system.
Foundstone Hacme Books v2.0 Strategic Secure Software Training Application (English)
This user guide provides an overview of Foundstone Hacme Books, a learning platform for secure software development.
Foundstone Hacme Casino v1.0 Strategic Secure Software Training Application (English)
This user guide introduces Hacme Casino, a learning platform for secure software development.
Foundstone Hacme Shipping v1.0 Software Security Training Application (English)
This white paper provides an overview of Foundstone Hacme Shipping a learning platform for secure software development.
Foundstone Hacme Travel Software Security Training Application (English)
Hacme Travel teaches application developers, programmers, software architects, and security professionals how to create secure software by attempting to exploit vulnerabilities and implement remediations in a simulated travel reservation system.
Mobile Application Security Testing (English)
This white paper documents a step-by-step methodology for testing mobile application security.
Proof of Concept: A New Data Validation Technique for Microsoft ASP NET Web Applications (English)
This white paper examines Validator.net, a McAfee Foundstone data validation tool for ASP.NET developers.
Secure Application Development with Ajax (English)
A presentation on Ajax Security from the rich web experience.
Securely Registering Applications (English)
This white paper examines insecure registration vulnerabilities among applications, detailing the impact of this threat and how it is exploited by hackers.
Socket Hijacking (English)
This white paper looks at socket hijacking on Windows systems, the impact of the vulnerability, and how it is exploited.
The Need for Strong SSL Ciphers (English)
This white paper makes the case for strong SSL ciphers and details the features of McAfee Foundstone's SSLDigger tool.
Writing Effective Policies Part I: Dissecting an Email Use Policy (English)
This white paper details the characteristics of an effective information security policy.