Le web application sono ormai parte integrante di ogni sistema informativo aziendale, imprescindibili strumenti per servizi di varia natura, interni o esterni: webmail, portali Intranet, e-procurement, supporto clienti, home banking, condivisione di file e molto altro ancora.
Le web application vulnerabili offrono agli hacker un vettore di attacco e un comodo punto di ingresso nella rete aziendale. In caso di violazione, le web app possono esporre enormi quantità di dati aziendali riservati.
Il Web Application Scanning protegge con scansioni incisive, approfondite, precise e con pochi falsi positivi.
La scansione delle applicazioni è una misura di sicurezza che non è facoltativa nel panorama delle minacce odierne; quest’ultime potrebbero esporre l’organizzazione ad attacchi come: SQL Injection, Cross Site Scripting, Denial ff Service ecc. nel caso non venissero adeguatamente identificate e mitigate.
L’assessment viene effettuato attraverso uno degli scanner più quotati (Qualys WAS), lo scanner si basa sull’OWASP Testing Framework, ovvero una community formata da più di 40 organizzazioni che ha l’obiettivo di realizzare linee guida, strumenti e metodologie per migliorare la sicurezza delle applicazioni.
Le alte prestazioni di Qualys vengono confermate anche dalle dichiarazioni di grandi multinazionali come ad esempio Microsoft:
“We found Qualys ideal for our need to assess thousands of websites with limited resources.”
– Infrastructure Security Team Manager at Microsoft.
Come può essere effettuato un Web Application Scanning?
- Non Autenticato. In questo tipo di scan ci si pone come un attaccante che non è in possesso di credenziali d’accesso alla web app in questione. In questo caso vengono testate tutte le pagine che sono raggiungibili senza la necessità di effettuare il login.
- Autenticato. Si tratta di un tipo di scan più esaustivo da eseguire in un ambiente di testing, vengono infatti testate tutte le pagine presenti sulla web app come se l’attaccante fosse entrato in possesso delle credenziali d’accesso. Ricordiamo che le credenziali possono essere ottenute attraverso molte tecniche tra cui attacchi di Bruteforcing, email di phishing, sniffing del traffico di rete ecc.
Il risultato del web application scanning è un report con su riportate tutte le vulnerabilità di cui soffre l’applicazione analizzata, per ognuna di esse vengono forniti l’impatto, la minaccia e la soluzione.
