Come funziona il Web Application Penetration Testing

30 Apr , 2019 Digital Security

Come funziona il Web Application Penetration Testing

Con la progressiva digitalizzazione di vari aspetti della vita quotidiana e non solo, la sicurezza digitale riveste un ruolo sempre più importante nella società contemporanea, sia per quanto riguarda la sfera privata sia per ciò che concerne il mondo del lavoro. La protezione di dati personali e informazioni sensibili rappresenta una sfida costante, soprattutto per le aziende che fanno delle strutture digitali o delle web app il fulcro delle proprie attività. Di seguito, vediamo com’è possibile verificare il grado di sicurezza di queste ultime attraverso appositi test.

Cosa è un Penetration Test

Il Penetration Test (spesso indicato anche come ‘pen test’) è un test di penetrazione volto a verificare il grado di sicurezza che caratterizza un sistema digitale, ma anche una rete di comunicazione o un’applicazione. Esso consiste in un attacco informatico a tutti gli effetti, condotto da una figura specializzata (il cosiddetto ‘hacker etico’), secondo diverse modalità.

Il Pen Test, in linea generale, si sviluppa in tre fasi successive: la prima è rappresentata dall’attacco vero e proprio condotto al sistema informatico da testare e consiste nell’accesso forzoso al sistema stesso; il secondo step del test prevede il mantenimento della posizione acquisita all’interno del sistema; nella terza ed ultima fase del test, il tester elimina tutte le ‘tracce’ che possono testimoniare l’accesso ed il passaggio all’interno della struttura digitale sottoposta all’attacco.

Ciascuna di queste fasi del test consente di acquisire informazioni importanti relative alla ‘resistenza’ del sistema testato: il tester, infatti, può individuarne sia i pregi sia i punti deboli, così da poter intervenire per tempo su questi ultimi ed implementare un grado di sicurezza digitale maggiore.

Cos’è il Web Application Penetration Testing

Il Web Application Penetration Test è un test di penetrazione condotto su una web app. Esso consiste nell’esame approfondito di tutte le sezioni e le funzioni dell’applicazione, in particolar modo quelle che prevedono l’inserimento di un username e di una password che – di solito – consentono di accedere anche i dati personali dell’utente dell’app.

Il test, come detto, deve essere condotto da figure specializzate; gli strumenti a disposizione di quest’ultime sono molteplici: i tool di analisi più diffusi sono Wireshark, Nmap (Network Mapper), Metasploit, Nessus, Burp Suite, Nikto e OpenVas.

Come funziona WAPT

Come il Pen Test, anche Web Application Penetration Testing può essere commissionato ad un’agenzia di investigazioni private, specializzata nella fornitura di servizi di Digital Security. Il mandante delle indagini e l’agenzia stipulano un contratto all’interno del quale devono essere inserite una serie di informazioni indispensabili per lo svolgimento del testo, come ad esempio gli indirizzi IP dai quali partiranno gli attacchi, gli estremi di identificazione dei soggetti incaricati di condurre il test ed anche l’eventuale presenza di soggetti terzi che prenderanno parte al pen test in qualità di collaboratoriesterni. In aggiunta, il contratto prevede specifiche clausole di sicurezza e le dovute garanzie da parte del tester; in particolare, quest’ultimo deve poter garantire sia la regolare prosecuzione delle attività aziendali, sia la riservatezza che l’integrità dei dati presenti all’interno della struttura o dell’applicativo testati. Qualsiasi azione messa in atto dal tester che non sia prevista all’interno del contratto stipulato dalle parti deve essere considerata illecita.

A seconda di determinati fattori, i pen test possono essere effettuati in vario modo. A seconda della ‘posizione’ dell’hacker, i Web Application Pentration Testing possono essere ‘interni’ o ‘esterni’. Nel primo caso, il tester ha già ottenuto l’accesso all’applicazione, superandone i firewall, e può condurre un attacco da parte di un ‘intruso’: un caso esemplare è rappresentato da un soggetto esterno che, tramite phishing, ha acquisito le credenziali d’accesso all’applicazione od al sistema digitale. Gli attacchi esterni, invece, presuppongono un punto di partenza diverso: questo tipo di test prende di mira ciò che è visibile in rete, ma anche gli indirizzi e-mail o le applicazioni, ed ha come obiettivo quello di accedere forzosamente al sistema per poi raccogliere i dati da analizzare.

La tipologia di test può essere determinata anche dalla quantità di informazioni messe preliminarmente a disposizione del tester. Il ‘Black Box Test’ è un tipo di test di penetrazione condotto senza che il tester abbia alcun tipo di riferimento rispetto alla struttura da attaccare; anche per questo viene spesso effettuato tramite sistemi automatizzati, secondo un approccio definito ‘trial and error’. Il ‘White Box Test’, indicato anche come ‘Clear Box Test’, invece rappresenta il caso opposto: il tester è a conoscenza di tutte le informazioni della struttura o dell’applicazione web; ciò consente, da un lato, di approntare azioni di verifica più specifiche; dall’altro, l’analisi di tutte le informazioni – e la successiva organizzazione del test – può richiedere un maggiore lasso di tempo. Esiste anche un’opzione intermedia, il ‘Grey Box Test’.

Il ‘Black Box Test’ rappresenta, in sostanza, un attacco alla cieca; non a caso, questo genere di pen test, può essere anche definito ‘Blind Test’ (ne esiste anche una versione ‘Double Blind’): esso rappresenta lo scenario più verosimile, quello in cui il soggetto che attuerà l’attacco informatico non ha a disposizione alcuna informazione sull’architettura da penetrare. Il ‘Targeted Test’, infine, rappresenta un pen test mirato, rivolto ad un obiettivo specifico: in genere viene condotto in collaborazione con il dipartimento IT.

Quando richiederlo

Come un più canonico ‘pen test’, anche il Web Application Penetration Testing può essere richiesto nel momento in cui sorga il sospetto che la sicurezza digitale di un apparato sia particolarmente vulnerabile rispetto ad attacchi informatici provenienti dall’esterno. In tal caso, si tratterebbe di una misura di carattere preventivo, volta per lo più ad individuare le falle dei sistemi di sicurezza dell’app, così da correggerli al più presto possibile ed evitare che un hacker possa sfruttarli a proprio vantaggio.

Di contro, è anche possibile commissionare il test quando emergono segnali tali da indicare un attacco in corso o, peggio, un ingresso non autorizzato all’interno dell’app (e, più in generale, di una struttura digitale). In tal caso, i ‘sintomi’ possono essere soprattutto la circolazione di dati sensibili ed informazioni riservate, o un utilizzo fraudolento delle stesse. Un buon esempio, in tal senso, è rappresentato dalle web app di internet banking o e-commerce: movimenti finanziari o acquisti a nome del titolare dell’utenza, effettuati a sua insaputa, possono essere un campanello d’allarme, sintomatico del fatto che un soggetto esterno ha violato la sicurezza dell’app, accedendo così ai dati sensibili registrati al suo interno. In questi frangenti, come detto, sia i privati che le aziende (tramite il titolare od un legale rappresentante) possono conferire mandato ad un’agenzia di investigazioni private per lo svolgimento di un test di penetrazione, secondo le modalità esposte in precedenza. Le indagini si concludono con la redazione di una relazione finale, in cui i tecnici incaricati riportano i risultati del test.


Desideri ricevere una consulenza gratuita o un preventivo senza impegno su questo argomento?
CONTATTACI SUBITO: