Web application penetration testing – Penetration test di applicazioni web
Test di sicurezza informatica su applicazioni web
Il servizio di Web Application Penetration Testing (WAPT) è uno dei servizi di sicurezza applicativa offerti da Inside Intelligence & Security Investigations.
Con l’avvento dell’e-commerce, le aziende sempre più spesso utilizzano il web per promuovere e vendere i propri prodotti e/o servizi.
La Divisione Cyber Security di Inside svolge quindi attività di prevenzione e sicurezza su tutti gli applicativi web di cui le aziende sono munite.
L’intervento prevede una scansione ed un monitoraggio di tutte le sezioni presenti sull’applicativo web, con una particolare attenzione a quelle protette da username e password che, se bucate, permetterebbero l’accesso ai servizi offerti tramite i protocolli HTTP o HTTPS.
L’intervento coinvolge i seguenti campi di sicurezza:
- Scansione dei dati sensibili inviati tramite l’applicativo, esposti al rischio di intercettazione da parte di malintenzionati, tramite l’esame del codice HTML, degli script o di altre informazioni ottenibili da eventuali meccanismi di debugging;
- Approfondita analisi dei campi interattivi tra l’applicazione e l’utente, in modo da individuare eventuali falle create da input (in)volontariamente inseriti;
- Procedure di autenticazione;
- Risoluzione di problematiche relative ad una specifica sessione, come ad esempio timeout, logout, hijacking, login tramite indirizzi non verificati;
- Validazione ed alterabilità dei dati;
- Esecuzione di comandi in zone impreviste dell’applicazione, che ad esempio, tramite specifiche stringhe SQL, possono portare alla diretta manipolazione del DataBase, con possibilità di acquisizione, modifica, cancellazione dei dati presenti;
- Interazioni inappropriate o non corrette con il Sistema Operativo (shell escape).
