www.cloudwall.tk    |    blog.cloudwall.tk    |    info@cloudwall.tk    |    +39 (039) 685 2630    |    Login    |    0 Prova Gratuita     |     Contattaci    -
 
Home --- Soluzioni --- Servizi --- Partner --- Documentazione --- Supporto --- Su di noi---  
CloudWALL Italia | Security as a Service    


Web Application Firewall  Denial of Service Prevention  Malware Detection Service  Managed Virus Protection  Web Content Filtering  Mail Content Filtering  Domain Name Security  Mobile Device Management  Availability Monitoring

One Time Password  Single Sign-On  Secure File Sharing  Event Log Management  Directory Services  Enterprise Backup  Content Delivery Network  Web Application Security  Vulnerability Management

--
-

Web Application Risk Audit 



Il servizio di Web Application Risk Audit prevede la conduzione di attivita’ di Security Audit, condotte in modalita’ “black box” (in assenza di credenziali per l’accesso autorizzato alle applicazioni web) o "white box" (con l'utilizzo di credenziali per l'accesso autenticato alle applicazioni web) nei confronti dei perimetro di rete e del sistema informativo interno. 

L’analisi di sicurezza nell’ambito delle applicazioni pubblicate sara’ condotto da remoto a partire dal nostro Private Cloud attraverso il quale verranno avviate le operazioni di analisi automatizzata delle vulnerabilita’. L’attivita’ si articola nell’esecuzione di una serie di controlli funzionali nell’ambito dell’applicazione presa in esame. Le tipologie di controlli che verranno effettuate fanno riferimento alle “best practices” indicate da OWASP (Open Web Application Security Project). OWASP è un progetto open-source per la sicurezza delle applicazioni che rappresenta lo standard “de facto” nell’ambito delle metodologie di analisi e classificazione del rischio delle applicazioni web. L’analisi ha lo scopo di verificare la conformita’ delle applicazioni alla normativa OWASP (recepita peraltro da PCI-DSS e altre normative di settore) in ambiti quali a) validazione dei parametri forniti in input dall’utente b) efficacia dei controlli di accesso c) gestione degli account e delle sessioni d) vulnerabilita’ a Cross-Site scripting (XSS) e) vulnerabilita’ a Buffer Overflows f) vulnerabilita’ a iniezione di comandi (SQL Injection) g) gestione degli errori h) utilizzo di procedure di crittografia i) funzionalita’ di amministrazione remota l) configurazione del server web.

In sintesi, le principali attivita’ previste in questa fase sono le seguenti :
  • Analisi delle vulnerabilita’ ad attacchi di SQL Injection
  • Analisi delle vulnerabilita’ ad attacchi di Cross-Site Scripting
  • Analisi delle vulnerabilita’ ad attacchi di Slow Http Post
  • Analisi delle vulnerabilita’ nei servizi di crittografia SSL
  • Analisi delle vulnerabilita’ nei “cookie” generati dall’applicazione
  • Analisi delle vulnerabilita’ nei form di autenticazione degli utenti
  • Analisi di conformita’  alle prescrizioni OWASP e PCI-DSS
A partire dalle informazioni collezionate nel corso delle fasi precedenti, vengono consolidati i risultati ottenuti dai test 
effettuati con particolare riferimento alla severita’ delle vulnerabiltia’ rilevate, alla ricorrenza e diffusione all’interno dei sistemi e dei servizi censiti, agli impatti delle varie vulnerabilita’, alla complessita’ delle tecniche di attacco per lo sfruttamento, alla disponibilita’ di “exploit” pubblici in grado di semplificarne lo sfruttamento, alle “best practices” fornite dai produttori e dalle comunita’ di sicurezza per la mitigazione delle vulnerabilita’ rilevate. 

Tali informazioni sono consolidate all’interno del documento di Technical Report che fornisce una descrizione dettagliata delle attivita’ svolte nelle varie fasi, dei risultati ottenuti dai test, delle vulnerabilita’ rilevate (con dettaglio relativo a severita’, impatto e suggerimenti per la mitigazione) e di un’analisi conclusiva dei risultati ottenuti e delle principali strategie di mitigazione da parte dei nostri specialisti di sicurezza informatica.


A partire dai risultati ottenuti dai test e consolidati all’interno del Technical Report, i nostri analisti di sicurezza procederanno con l’analisi complessiva dei risultati ottenuti e alla compilazione delle “dashboard” di analisi dei risultati chiave attraverso cui verranno prodotti i grafici di riepilogo che andranno a costituire il Executive Report.  Tale documento di sintesi rappresenta lo strumento per consentire al management dell’azienda una rapida comprensione delle risultanze emerse dal test di sicurezza senza la necessita’ di avere diretta conoscenza dei tecnicismi connessi alle caratterstiche delle varie vulnerabilita’ delle tecniche di attacco ad esse correlate. Attraverso l’analisi congiunta delle informazioni che costituiscono il Technical Report e il Executive Report i nostri analisti produrranno un riepilogo conclusivo dei risultati emersi, del fattore di rischio rilevato e dei principali suggerimenti per la mitigazione delle vulnerabilita’ rilevate.


Per maggiori informazioni o per richiedere una quotazione del servizio contattaci semplicemente compilando questo form oppure inviandoci un messaggio all'indirizzo info@cloudwall.tk.