Servizio di Penetration Test

Le applicazioni Web sono quelle che vengono distribuite sul server (Apache, IIS et similia) e sono accessibili tramite un browser (Firefox, Chrome, Internet Explorer). Esistono vari tipi di applicazioni Web, ma le applicazioni più utilizzate sono E-commerce, Content Management Systems, Chat Rooms e moltre altre ancora.
Web Application Penetration Testing
In modo semplice, questo test è utile per trovare le falle di sicurezza che sono collocate nelle applicazioni web. Questo test verifica l'efficacia della sicurezza esistente e migliora anche la sicurezza che sta arrivando.

Tipi di Penetration Testing

White Box Penetration Testing

È proprio come una scatola trasparente in cui i clienti forniscono tutte le informazioni relative all'applicazione web.

VANTAGGI:
⦁  Ottimizza il codice.
⦁  I ricercatori della sicurezza hanno piena conoscenza dell'applicazione web di destinazione.

Black Box Penetration Testing

Non si dispone di informazioni complete sull'applicazione web del target. Dal cliente ci viene fornito solo il dominio di destinazione tramite il quale può eseguire varie operazioni per indirizzare applicazioni Web.

VANTAGGI:
⦁ I Security Researchers adottano misure simili ai Black hat hackers.

Grey Box Penetration Testing

È una combinazione di White Box Penetration Testing e Black Box Penetration Testing.

Con questo test il Security Researcher ottiene informazioni parziali sul sistema del bersaglio.

Penetration Testing Service

Nei test di penetrazione delle applicazioni Web, seguiamo le linee guida OWASP (The Open Web Application Security Project) in cui il nostro approccio principale consiste nell'utilizzare manualmente il 75% dei test e il restante 25% tramite strumenti automatizzati. Ci concentriamo principalmente sul back-end anziché sul front-end.

Esistono alcuni fattori chiave di OWASP, ma non limitati ai seguenti:
- Injection: l'autore dell'attacco esegue codice dannoso nell'applicazione Web. Le iniezioni sono classificate in vari tipi: SQL Injections, Code injection, HTML or XML injection.
- Broken Authentication and Session Management: si tenta di attaccare il meccanismo di autenticazione per ottenere l'accesso non autorizzato.
- Cross Site scripting (XSS): consente di iniettare script dannosi in un'applicazione Web.
- Insecure Direct Object Reference: consente di modificare il valore di un parametro che si riferisce direttamente a un system object a un altro oggetto per il quale l'attaccante non è autorizzato.
- Security Misconfiguration: È la debolezza riscontrata nella configurazione che può comportare un comportamento indesiderato dell'applicazione.
- Sensitive data Exposure: È un tipo di salting e crittografia dei dati sensibili nella storage. Se un sistema non è sicuro, esiste la possibilità che i dati sensibili vengano esposti attraverso accessi non autorizzati.
- Missing The Functional Level Access Control: È un fallo che consente a un utente semplice di eseguire funzioni di amministratore tramite un accesso URL.
- Cross Site Request Forgery (CSRF): Consente a un utente malintenzionato di forzare un utente finale ad eseguire azioni indesiderate su applicazioni Web in cui sono attualmente autenticati.
- Using the components with known vulnerabilities: Consente all'attacker di sfruttare vulnerabilità note.
- Unvalidated Redirects and Forwards: Consente all'utente malintenzionato di fornire input non attendibili a un'applicazione Web che potrebbe causare il reindirizzamento della richiesta a un URL contenuto in input non attendibili.

Vulnerability Assessment Services
Si valuta la forza delle difese del suo cliente contro gli attacchi che hanno maggiori probabilità di essere utilizzati dagli attaccanti per fornire poi consigli pratici.
Tutti i risultati sono valutati in base al loro rischio, alla probabilità di sfruttamento e al potenziale impatto sul business. Ciò consente ai clienti di concentrarsi ad affrontare i problemi più rilevanti.
Sicurezza dell'infrastruttura
The Brain ha eseguito centinaia di valutazioni di sicurezza delle infrastrutture interne ed esterne e ha identificato migliaia di vulnerabilità critiche che hanno esposto le imprese ad attacchi interni ed esterni.
⦁    Valutazioni della vulnerabilità della rete esterna e test di penetrazione
⦁    Valutazioni di vulnerabilità della rete interna
⦁    Revisioni dell'architettura di rete
⦁    Revisioni della configurazione del dispositivo (relative sia ai dispositivi host che a quelli di rete)
⦁    Valutazioni di sicurezza wireless
⦁    Valutazioni di sicurezza VoIP
⦁    Recensioni di Active Directory
⦁    Social engineering e test di penetrazione fisica
⦁    Valutazioni delle minacce interne
Sicurezza delle applicazioni
Il test delle applicazioni a intervalli regolari, in particolare dopo che sono state apportate importanti modifiche a un'applicazione, è fondamentale per mantenere una presenza sul web resistente agli aggressori. The Brain ha sviluppato un ampio portafoglio di valutazioni della sicurezza delle applicazioni, tra cui:
⦁    Valutazioni di sicurezza delle applicazioni Web e client-server
⦁    Valutazioni di applicazioni mobili sulla maggior parte delle piattaforme
⦁    Revisioni del codice sorgente per i linguaggi di programmazione più comuni
⦁    Revisioni del ciclo di vita dello sviluppo software (SDLC)
⦁    Valutazioni dell'architettura dell'applicazione
⦁    Servizi personalizzati come richiesto

Penetration Testing: i nostri servizi, il nostro approccio

Esistono numerose best practice per Web Application Penetration Testing e tecniche di test di sicurezza utilizzate , includono Fault Injection, Grey Box Penetration Testing e Black Box Penetration Testing. Vengono eseguiti insieme ai test della logica aziendale, che potrebbero sfruttare la funzionalità di un'applicazione e svolgere azioni indesiderate come bypass delle autorizzazioni, attacchi all'escalation dei privilegi, manipolazione dei parametri, ecc.

I nostri servizi

forniranno una visione completa di come l'azienda è esposta a determinati rischi, a causa delle vulnerabilità delle applicazioni.

I nostri approcci

⦁    Raccolta di informazioni
⦁    Impronta digitale dell'applicazione
⦁    Identificazione delle vulnerabilità
⦁    Creazione di casi di test e convalida della vulnerabilità
⦁    Sfruttare le vulnerabilità
⦁    Consigli e rapporti

I nostri REPORT

I nostri report sono sviluppati su misura e forniscono dettagli specifici sull'applicazione con informazioni step-by-step, esempi di codice e configurazioni.

I vantaggi

⦁    individuare difetti di progettazione e migliorare la sicurezza delle applicazioni a livello di sviluppo.
⦁    determinare se l'accesso non autorizzato può essere fornito manipolando il software client.
⦁    identificare rischi specifici e fornire raccomandazioni dettagliate.
⦁    la fiducia degli utenti nella sicurezza delle applicazioni è aumentata.
⦁    migliora la produttività e previene i tempi di inattività delle applicazioni.
 
banner
banner