Valutazione della penetrazione nelle applicazioni

Individuazione e risoluzione delle vulnerabilità delle applicazioni

Overview

Perché far trovare agli hacker le vulnerabilità delle tue applicazioni? Con Foundstone puoi individuare e risolvere preventivamente i punti deboli della tua infrastruttura. Foundstone può tutelare la reputazione della tua azienda e impedire cali di profitto.

Secondo una stima del NIST (National Institute of Standards and Technology) fino al 92% delle vulnerabilità attuali sono situate a livello di applicazione. Quasi tutte le principali applicazioni in uso oggi hanno subito almeno una volta le conseguenze di una vulnerabilità grave, che ha portato a un calo delle vendite e minato la reputazione e la fiducia dei clienti. Il servizio che offre il test di penetrazione delle applicazioni Foundstone analizza un'applicazione dal punto di vista di un hacker e ne individua le falle prima che queste siano rese note pubblicamente e sfruttate.

Vantaggi principali

  • Individuazione delle vulnerabilità nelle applicazioni prima degli hacker.
  • Esecuzione di un controllo della qualità prima del rilascio delle applicazioni.
  • Comprensione dei rischi e del potenziale impatto sull'azienda e i prodotti.
  • Il nostro test manuale sull'accuratezza e l'efficacia è completamente sicuro.
  • Trasferimento attivo delle conoscenze sulle tecniche di test, le problematiche e le azioni di rimedio.

Methodology

Il test inizia con un'analisi statica degli eseguibili binari e delle librerie che costituiscono l'applicazione. Le scansioni a livello di server cercano vulnerabilità note ed errori di configurazione comuni. I nostri consulenti che svolgono la prova di penetrazione eseguono poi un processo di indagine per raccogliere informazioni sull'applicazione e cercare vulnerabilità legate alla divulgazione di informazioni riservate come password, chiavi di crittografia o dati sui clienti. Una volta raccolti questi dati, Foundstone conduce il test vero e proprio che prevede:

  • Test sulla gestione della configurazione, inclusa la scoperta della presenza di informazioni sensibili nei file di configurazione. Vengono anche cercate le informazioni sull'ambiente che possono essere manipolate per alterare il funzionamento dell'applicazione, nonché i segreti e le stringhe di testo presenti nei file binari o nella memoria dell'applicazione.
  • Esame della protezione dei dati archiviati o in transito, quando le informazioni sensibili vengono comunicate all'interno della rete o memorizzate su un disco o nel database.
  • Test sulle autenticazioni e le autorizzazioni per determinare le possibilità di elusione dei filtri o di escalation dei privilegi.
  • Controlli della sessione e dello stato per individuare i tentativi di presa di controllo delle sessioni o altri attacchi di questo tipo.
  • Test sulla convalida dei dati per rilevare problematiche come le vulnerabilità SQL injection e buffer overflow.
  • Test sulla gestione di errori ed eccezioni che tentano di forzare l'accesso a un'applicazione pericolosa o di causare la divulgazione di informazioni attraverso l'accesso non autorizzato al file di dump.
  • Controllo dell'auditing e degli accessi in cui si tenta di corrompere i processi di audit, creare voci di registro false, scoprire informazioni sensibili nei file di registro o utilizzare il meccanismo di accesso come vettore di attacco.

Nel corso di tutti questi test, l'obiettivo principale è compromettere la sicurezza dei server, degli agent remoti e dei client dell'applicazione. Inoltre, Foundstone cerca le vulnerabilità dell'applicazione che potrebbero permettere all'autore di un attacco di ottenere l'accesso al sistema operativo sottostante o ai server backend del database.