Con il termine penetration test (o test di penetrazione) si intende l’insieme delle procedure volte a testare la sicurezza di un sistema informatico o di un’applicazione nel modo più realistico possibile, ossia riproducendo lo scenario di attacco nello stesso modo in cui avverrebbe nella realtà.
La metodologia di penetration test racchiude sia l’approccio black box (ovvero nessuna conoscenza del sistema target) che l’approccio white box (cioè con una conoscenza parziale o completa del sistema da attaccare) ed è stata sviluppata intorno ai seguenti standard: la OWASP Testing Guide per il penetration testing delle applicazioni web.
Il penetration test può essere condotto su una singola macchina o su una rete di computer, indipendentemente dalla loro esposizione su Internet. Anche se la maggior parte degli attacchi informatici avviene attraverso Internet, infatti, una buona parte viene veicolata attraverso altri mezzi come chiavette usb, CD o altri supporti di memorizzazione.
Il test contribuirà a identificare vulnerabilità come:
- SQL Injection o iniezione di codice maligno
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Autenticazione inappropriata and Session Handling
- Errori nella configurazione dell’aspetto sicurezza
- Accesso ad URL non pubblici
- Insufficient Transport Layer Protection
- Debolezze nell’algoritmo di crittografia
- Insecure Direct Object References
- Debolezze nei Redirects e nei Forwards
- Gestione degli errori ed exception handling inappropriate
Prima di effettuare un test di penetrazione occorrerà redigere una dichiarazione di esonero dalla responsabilità che eviti implicazioni penali per una attività che in Italia è considerata reato se non appositamente autorizzata.
In questa dichiarazione si dovrà riportare il tipo di test che saranno effettuati, gli obbiettivi che saranno testati (singoli computer, intere reti, dispositivi mobili), l’IP o il range di IP dai quali saranno eseguiti, l’intervallo di date e gli orari nonché gli autori del test.
Per informazioni sui dettagli ed i costi di un penetration test potete contattarmi dalla pagina contatti.