I siti McAfee Secure aiutano a proteggersi da furti di identità, frodi a danno delle carte di credito, programmi spyware, spam, virus e truffe online
Home Page AziendeServiziTechnology Consulting

Valutazione della penetrazione nelle applicazioni web

Individuazione delle vulnerabilità del sito web

Overview

Secondo una stima del NIST (National Institute of Standards and Technology) fino al 92% delle vulnerabilità attuali sono situate a livello di applicazione. La nostra esperienza dimostra che 9 clienti su 10 hanno almeno una falla grave che potrebbe causare la divulgazione di dati dei clienti o una compromissione totale del sistema. Il test di penetrazione nelle applicazioni Web di Foundstone analizza un sito web dal punto di vista di un hacker e ne individua le falle prima che possano essere sfruttate.

Foundstone è da sempre il leader dei test di penetrazione nelle applicazioni web. Abbiamo pubblicato il testo “Hacking Exposed: Web Applications” e continuiamo a detenere la leadership di pensiero in questo settore grazie al nostro ultimo libro: “How to Break Web Software.” È nostra intenzione integrare continuamente questo tipo di servizio nella nostra vasta offerta di soluzioni per la sicurezza del software, per aiutare i nostri clienti a progettare e creare software più sicuri.

Abbiamo creato e distribuito molti strumenti gratuiti per automatizzare alcune aree di test, tra cuiSSLDigger, uno strumento per verificare l'efficacia della cifratura e la configurazione SSL sui server web; CookieDigger, uno strumento per verificare la potenza della sicurezza dei cookie della sessione e SiteDigger, uno strumento per determinare se i motori di ricerca come Google espongono delle parti della presenza online dell'azienda.

Il gruppo OWASP (Open Web Application Security Project) è il punto di riferimento sull'argomento. Foundstone sta gestendo numerosi progetti importanti, tra cui quello per la creazione di uno standard per i criteri di test.

Vantaggi principali

  • Individuazione delle vulnerabilità nei siti web in produzione prima degli hacker
  • Verifica della qualità della sicurezza quando le applicazioni passano in produzione
  • Comprensione dei rischi e del potenziale impatto sull'azienda
  • Implementazione di una metodologia di test manuale dettagliata e comprovata per garantire l'accuratezza e l'efficacia
  • Trasferimento sicuro delle conoscenze sulle tecniche di test, le problematiche e le azioni di rimedio

Methodology

Siamo consapevoli dei considerevoli limiti degli strumenti di test automatici come gli scanner delle applicazioni web, per questo quasi tutti i nostri test sono eseguiti e verificati manualmente, utilizzando una metodologia ben definita, ripetibile e coerente. Utilizziamo gli strumenti automatici per la valutazione solo quando si sono dimostrati accurati ed efficienti (solitamente per meno del 5% di un incarico) e hanno sponsorizzato un progetto di ricerca OWASP per creare dei punti di riferimento sulle prestazioni di tali strumenti automatici.

Scoperta: collaboriamo con il cliente per comprendere l'impatto sull'azienda delle diverse funzionalità, in modo da poter qualificare e quantificare il rischio aziendale delle vulnerabilità riscontrate.

Valutazione: per garantire la verifica di tutte le aree importanti e per garantire la coerenza e la ripetibilità utilizziamo uno schema di sicurezza comune che include:

  • Autenticazione
  • Autorizzazione
  • Gestione degli utenti
  • Gestione della sessione
  • Convalida dei dati, inclusi tutti gli attacchi comuni come la SQL injection, il cross-site scripting, l'inserimento di comandi e la convalida dal lato client.
  • Gestione degli errori e delle eccezioni
  • Controllo e registrazione

Reportistica e fornitura: al termine dell'incarico forniamo un dettagliato report scritto con un riepilogo esecutivo in cui sono prioritizzate le scoperte e l'impatto sull'azienda. Per ciascuna scoperta tecnica sono specificati i dettagli e le raccomandazioni per la mitigazione.

Italia - Italiano