Web application penetration testing

Test di sicurezza informatica su applicazioni web

Con l’avvento dell’E-Commerce, le aziende sempre più spesso utilizzano il web per promuovere e vendere i propri prodotti e/o servizi.

La Divisione Cyber Security di INSIDE svolge quindi attività di prevenzione e sicurezza su tutti gli applicativi web di cui le aziende sono munite.

L’intervento prevede una scansione ed un monitoraggio di tutte le sezioni presenti sull’applicativo web, con una particolare attenzione a quelle protette da username e password che, se bucate, permetterebbero l’accesso ai servizi offerti tramite i protocolli HTTP o HTTPS.

L’intervento coinvolge i seguenti campi di sicurezza:

• Scansione dei dati sensibili inviati tramite l’applicativo, esposti al rischio di intercettazione da parte di malintenzionati, tramite l’esame del codice HTML, degli script o di altre informazioni ottenibili da eventuali meccanismi di debugging;
• Approfondita analisi dei campi interattivi tra l’applicazione e l’utente, in modo da individuare eventuali falle create da input (in)volontariamente inseriti;
• Procedure di autenticazione;
• Risoluzione di problematiche relative ad una specifica sessione, come ad esempio timeout, logout, hijacking, login tramite indirizzi non verificati, etc.
• Validazione ed alterabilità dei dati;
• Esecuzione di comandi in zone impreviste dell’applicazione, che ad esempio, tramite specifiche stringhe SQL, possono portare alla diretta manipolazione del DataBase, con possibilità di acquisizione, modifica, cancellazione dei dati presenti;
• Interazioni inappropriate o non corrette con il Sistema Operativo (shell escare).