di Nicholas Skelsey e Carlo Maragno

Lo svolgimento dei Penetration Test di applicazione web è una delle attività fondamentali di Secure Network, società del gruppo BV TECH. Per chi non lo conosce, è un controllo della sicurezza di un sito web o di un applicativo online. Queste attività rappresentano una buona parte della nostra operatività, soprattutto in questi mesi con le chiusure di molte sedi e impianti che hanno bloccato di fatto tutte le attività on site dai clienti.

Secondo un sondaggio eseguito da The Fool, datato maggio 2020, su 1.076 italiani, circa un terzo del campione farà Shopping online più frequentemente e un quarto video-chiamerà di più dopo la pandemia. Tra i fattori che influenzano le scelte di un acquisto online, la affidabilità del sito web ha un’importanza elevata.

Tra gli obbiettivi di un Penetration Test di un’applicazione web, lo è l’identificazione di vulnerabilità severe nell’applicazione. Quando gli ingeneri di Secure Network producono un report, le vulnerabilità rilevate vengono classificate per severità basata su uno score calcolato in base all’impatto della problematica nel contesto applicativo.

Le vulnerabilità, di solito, sono classificate in ordine decrescente.

LEGGI ANCHE: Il mondo che verrà. La storia del COVID-19 sarà (ri)scritta dai vincitori

L’affidabilità post pandemia

Ad esempio, in un report si può trovare WAPT-01, WAPT-02, dove la prima è più rilevante della seconda. Questo approccio è pensato per rendere più agili gli sforzi di remediation, e si nel nome della vulnerabilità si cerca anche di specificare anche l’ambito della problematica, ad esempio WAPT-03 Server Misconfiguration. È da notare come questa classificazione sia molto flessibile, e ci aiuta a essere coincisi nella stesura del report.

Secondo le nostre analisi, Secure Network ha effettuato circa 300 Penetration Test di siti web dall’inizio di 2018. Spesso riscontriamo molti errori comuni, dovuti a disattenzioni durante lo sviluppo. Ad esempio, spesso ci capita di trovare sistemi con certificati SSL configurati erroneamente.

Durante i test, però cerchiamo di concentrarci sulle possibili problematiche ad alto impatto, che pur accadendo con meno frequenza hanno comunque delle implicazioni molto gravi, ad esempio, capita di trovare problemi di nella gestione dell’autenticazione.

Continua a leggere su Medium