Sicurezza Applicativa
Penetration Test
Il Penetration Test è un processo attraverso cui viene valutata la sicurezza di un sistema o di una rete. Eseguito simulando un ampio ventaglio di possibili attacchi che metterebbe in atto un utente con fini malevoli, questo test fornisce una visione completa dell’efficacia delle misure di sicurezza del sistema, evidenziandone eventuali debolezze e falle.
Il team Shielder è composto da tecnici la cui esperienza nel campo dell’application security deriva non solo dalle attività di Web e Mobile Application Penetration Test, ma anche dai lunghi periodi di formazione, bug hunting e security research. Per l’erogazione dei security assessment, adottiamo una metodologia in linea con gli standard OSSTMM (Open Source Security Testing Methodology Manual) e OWASP (Open Web Application Security Project).
Web Application Penetration Test (WAPT)
Un Web Application Penetration Test è una vera e propria simulazione d’attacco durante la quale il nostro team di security researcher attacca i portali web oggetto di test al fine di identificarne la vulnerabilità.
Lo scopo dei test è quello di scoprire le debolezze che potrebbero portare a una compromissione in termini di Confidenzialità, Integrità e Disponibilità dei dati gestiti dagli applicativi analizzati.
Mobile Application Penetration Test (MAPT)
Il Mobile Application Penetration Test è il servizio che meglio permette l’identificazioni delle vulnerabilità specifiche delle Applicazioni per Smartphone e Tablet (Android and iOS). Attraverso la simulazione di un attacco da una parte terza, il MAPT permette di evidenziare non solo i problemi di sicurezza dell’applicazione stessa (es. Buffer Overflows, Insecure Storage, Exposed IPCs / Services / Intents, ecc.), ma anche delle API interrogate dall’applicazione (es. SQL Injections, Authentication Bypasses, Insecure Direct Object References, ecc.).
Black-Box Penetration Test
Un Black-Box Penetration Test è la cosa più vicina a un attacco nel mondo reale. Le uniche differenze sono l’obiettivo e il tempo allocato, infatti la simulazione non ha lo scopo di creare danni e ha un inizio e una fine precise.
In questa modalità il cliente fornisce esclusivamente URL e/o applicazioni e le relative credenziali, lasciando il compito ai penetration tester di utilizzarli con occhi da attaccante al fine di identificarne le debolezze.
White-Box Penetration Test
Il White-Box Penetration Test è l’approccio più efficace in quanto prevede la condivisione del codice sorgente, le configurazioni dei server, la documentazione e la predisposizione di una linea diretta con gli sviluppatori.
Attraverso questo processo è possibile non solo scoprire le vulnerabilità più evidenti, ma anche le più insidiose, che richiedono una profonda comprensione degli applicativi oggetto di test e delle relazioni tra i loro componenti interni.
Come “effetto collaterale” di questo approccio risulta possibile per i penetration tester fornire consigli per i fix molto più accurati e permette agli sviluppatori di identificare e prevenire porzioni classiche di codice vulnerabile.
Code Review
ll servizio di Code Review consiste in un valido strumento per riprendere il controllo sulla sicurezza di un software sviluppato in house o da terzi.
L’analisi condotta dai nostri specialisti è di tipo manuale, con supporto aggiuntivo di tool per l’esecuzione di analisi statiche. Gli strumenti utilizzati sono sia commerciali sia custom, ovvero sviluppati da noi per rendere più efficiente il processo di identificazione di criticità tecniche, logiche e di design.
L’analisi manuale viene svolta da un team composto di esperti di secure coding e di offensive application security in modo tale da garantire sempre un duplice controllo durante l’esecuzione del servizio. L’obiettivo finale è quello di fornire un approccio scientifico, accurato e ripetibile per l’esecuzione di verifiche di sicurezza.
Corsi di Formazione
Consapevoli che la sicurezza informatica sia un tema sempre più importante sul quale molte aziende sentono la necessità di sensibilizzare il proprio organico, offriamo un corso di formazione dedicato agli sviluppatori software.
Tramite un mix di moderne tecniche di knowledge transfer che prevede sessioni interattive, domande aperte, esercizi e altre attività, costruiamo lezioni e sfide cucite su misura per il singolo cliente. Il corso, tenuto da esperti in Application Security, ha lo scopo di fornire i concetti fondamentali del secure coding e verificare l’apprendimento delle nozioni mediante un esame finale.
Durante il corso vengono affrontate le seguenti tematiche:
- Understanding The “Security Approach”
- Most Common Vulnerabilities
- Threat Modeling 101
- Spot the Vulnerability - Pratico
- Patch the Code - Pratico
Abbiamo ottenuto RCE su applicazioni usate da
Telco
Ospedali
Banche