Your Cart

No products in the cart.

What Are You Looking For?

Attualmente, uno degli aspetti più cruciali nelle varie attività di valutazione tecnica è rappresentato dai test di sicurezza sulle applicazioni web.

Questo focus è il risultato delle statistiche legate ai vettori di attacco, dove più della metà degli attacchi informatici trova origine in errori di programmazione. I test di sicurezza sulle applicazioni web comprendono una serie di tentativi di attacco che coinvolgono i protocolli e la logica di comunicazione utilizzata dagli utenti finali nell’interazione con le applicazioni web.
Questi attacchi possono essere diretti al server web, alla struttura dell’applicazione, ai sistemi di autenticazione, alle autorizzazioni, alle interfacce di gestione, ai sistemi client, e così via.

Nel caso specifico delle applicazioni web, questi attacchi si basano sulla manipolazione di pacchetti HTTP scambiati tra il browser dell’utente e il server web.
br />Il nostro servizio di Web Application Penetration Testing (WAPT) è dedicato a una valutazione approfondita della sicurezza delle applicazioni web.

Questo processo comporta un’analisi attiva dell’applicazione per individuare potenziali punti deboli, difetti tecnici e vulnerabilità in diversi aspetti, tra cui:

  1. Gestione della configurazione e distribuzione
  2. Gestione dell’identità
  3. Autenticazione
  4. Autorizzazioni
  5. Gestione delle sessioni
  6. Convalida dell’input
  7. Gestione degli errori
  8. Crittografia
  9. Logica applicativa
  10. Lato client
L’obiettivo è identificare e mettere in evidenza tutte le vulnerabilità presenti nell’applicazione web del cliente, mostrando chiaramente la sua superficie di attacco.

Il nostro approccio si basa su oltre 66 controlli di sicurezza conformi allo standard internazionale OWASP, seguendo un approccio best-effort.

Alcune delle vulnerabilità e dei controlli che affrontiamo includono:

  • Information leakage:
  • Validazione dell’input
  • Modifica ed alterabilità dei dati
  • Interazioni errate con il database
  • Gestione della sessione
  • Validazione dei dati
  • Command Injection
  • Cross-Site Scripting (XSS)
  • Vulnerabilità del controllo di accesso implementato dall’applicazione