Valutazione della penetrazione nelle applicazioni web

Individuazione delle vulnerabilità del sito web

Overview

Secondo una stima del NIST (National Institute of Standards and Technology) fino al 92% delle vulnerabilità attuali sono situate a livello di applicazione. La nostra esperienza dimostra che 9 clienti su 10 hanno almeno una falla grave che potrebbe causare la divulgazione di dati dei clienti o una compromissione totale del sistema. Il test di penetrazione nelle applicazioni Web di Foundstone analizza un sito web dal punto di vista di un hacker e ne individua le falle prima che possano essere sfruttate.

Foundstone è da sempre il leader dei test di penetrazione nelle applicazioni web. Abbiamo pubblicato il testo “Hacking Exposed: Web Applications” e continuiamo a detenere la leadership di pensiero in questo settore grazie al nostro ultimo libro: “How to Break Web Software.” È nostra intenzione integrare continuamente questo tipo di servizio nella nostra vasta offerta di soluzioni per la sicurezza del software, per aiutare i nostri clienti a progettare e creare software più sicuri.

Abbiamo creato e distribuito molti strumenti gratuiti per automatizzare alcune aree di test, tra cuiSSLDigger, uno strumento per verificare l'efficacia della cifratura e la configurazione SSL sui server web; CookieDigger, uno strumento per verificare la potenza della sicurezza dei cookie della sessione e SiteDigger, uno strumento per determinare se i motori di ricerca come Google espongono delle parti della presenza online dell'azienda.

Il gruppo OWASP (Open Web Application Security Project) è il punto di riferimento sull'argomento. Foundstone sta gestendo numerosi progetti importanti, tra cui quello per la creazione di uno standard per i criteri di test.

Vantaggi principali

  • Individuazione delle vulnerabilità nei siti web in produzione prima degli hacker
  • Verifica della qualità della sicurezza quando le applicazioni passano in produzione
  • Comprensione dei rischi e del potenziale impatto sull'azienda
  • Implementazione di una metodologia di test manuale dettagliata e comprovata per garantire l'accuratezza e l'efficacia
  • Trasferimento sicuro delle conoscenze sulle tecniche di test, le problematiche e le azioni di rimedio

Methodology

Siamo consapevoli dei considerevoli limiti degli strumenti di test automatici come gli scanner delle applicazioni web, per questo quasi tutti i nostri test sono eseguiti e verificati manualmente, utilizzando una metodologia ben definita, ripetibile e coerente. Utilizziamo gli strumenti automatici per la valutazione solo quando si sono dimostrati accurati ed efficienti (solitamente per meno del 5% di un incarico) e hanno sponsorizzato un progetto di ricerca OWASP per creare dei punti di riferimento sulle prestazioni di tali strumenti automatici.

Scoperta: collaboriamo con il cliente per comprendere l'impatto sull'azienda delle diverse funzionalità, in modo da poter qualificare e quantificare il rischio aziendale delle vulnerabilità riscontrate.

Valutazione: per garantire la verifica di tutte le aree importanti e per garantire la coerenza e la ripetibilità utilizziamo uno schema di sicurezza comune che include:

  • Autenticazione
  • Autorizzazione
  • Gestione degli utenti
  • Gestione della sessione
  • Convalida dei dati, inclusi tutti gli attacchi comuni come la SQL injection, il cross-site scripting, l'inserimento di comandi e la convalida dal lato client.
  • Gestione degli errori e delle eccezioni
  • Controllo e registrazione

Reportistica e fornitura: al termine dell'incarico forniamo un dettagliato report scritto con un riepilogo esecutivo in cui sono prioritizzate le scoperte e l'impatto sull'azienda. Per ciascuna scoperta tecnica sono specificati i dettagli e le raccomandazioni per la mitigazione.