loader image

Penetration Test

penetration test

Il penetration testing simula le azioni di un attaccante esterno e/o interno all’organizzazione che mira a violare la sicurezza delle informazioni dell’azienda stessa. Usando molti strumenti e tecniche, il tester (Ethical Hacker) tenta di sfruttare i sistemi critici e di ottenere l’accesso a dati sensibili tramite l’acquisizione di privilegi di accesso elevati. Le modalità di esecuzione sono principalmente due: white box e black box.

Nella modalità black box, prendendo come esempio un’applicazione web, il cliente fornisce semplicemente l’indirizzo URL dell’applicazione da testare. Più in generale con il cliente si definisce l’ambito o scope su cui effettuare i test. Nella modalità white box il cliente fornisce altre informazioni utili per effettuare i test, come ad esempio le credenziali di accesso, l’architettura dell’applicazione, il linguaggio di sviluppo e riferimenti a parte del software più sensibili.

Tramite strumenti automatici e procedure manuali l’ethical hacker proverà a individuare le vulnerabilità e testerà tutte le funzionalità di sicurezza come autenticazione e autorizzazione, dando evidenza dello sfruttamento delle debolezze del sistema in esame.

Modalità di esecuzione:

\

Information Gathering (Raccolta informazioni sull’obiettivo/target dei test)

\

Footprinting and Scanning (individuazione dei servizi e dei sistemi operativi in esecuzione sul target)

\

Vulnerability Assessment (scansione, individuazione e classificazione delle vulnerabilità note)

\

Assessment manuale (individuazione e classificazione delle vulnerabilità non note)

\

Exploitation (dimostrazione di abuso delle vulnerabilità rilevate)

\

Report (resoconto dettagliato destinato al cliente dell’esito del test con consigli di mitigazione delle vulnerabilità rilevate)

Cos’è un Penetration Test Applicativo?

PT applicativo

Un PT applicativo serve per testare la presenza di vulnerabilità in un software, che sia un’applicazione web, mobile, o un web service SOAP o RESTful. Tramite procedure definite da standard e organizzazioni come OWASP, si procede ad effettuare l‘ analisi tramite una serie di tentativi d’attacco che coinvolgono i protocolli e le logiche di comunicazione utilizzati dagli utenti finali per interagire con le applicazioni.

I test vengono condotti sia in modalità anonima che in “user-mode”, utilizzando un account creato tramite le usuali procedure di attivazione, al fine di permettere al penetration tester l’accesso come utente autorizzato. In questo modo è possibile testare la robustezza dei sistemi di autenticazione e di contenimento sia per utenti anonimi che per normali utilizzatori autorizzati.

Desideri maggiori informazioni? Non esitare a contattarci senza impegno

Chiama Ora