La sicurezza nelle applicazioni Web – 3

di Saverio Rizza

scritto il

L'uso di un'applicazione Web all'interno dell'azienda può causare rischi dal punto di vista della sicurezza. Un'analisi dettagliata delle funzionalità consente di evitare problemi e perdita di dati

Ambito blackbox

Il WAPT avviene senza una conoscenza della logica funzionale dell’applicazione e del suo codice sorgente, attaccando gli entry points e i cookies tramite l’inserimento di pattern d’attacco. Secondo esperienza e competenze del tester, si comprenderà la logica applicativa e i controlli eseguiti dalle applicazioni sull’input tramite l’analisi dell’output, riscontrando possibili anomalie nel comportamento o nell’aspetto dell’applicazione.

Requisiti

Assegnare a molte persone lo stesso compito di verifica significa avere diversi approcci creativi nella fase di ricerca delle vulnerabilità.

Pro

  • Il tester non deve essere necessariamente un programmatore, pur dovendo mantenere un background tecnico relativamente alle tecnologie connesse alle applicazioni da testare.
  • Permette il testing anche a personale non interno al progetto che per motivi di segretezza non deve avere la possibilità di accedere al codice sorgente; risulta quindi possibile assegnare ad aziende estranee alle fasi di sviluppo l’esecuzione dei WAPT.

Contro

  • Può rilevarsi molto complesso e dispendioso in termini di tempo.
  • Non permette una verifica esaustiva degli algoritmi di crittografia proprietari (si dovrebbe considerare per assioma che gli algoritmi di crittografia proprietari siano vulnerabili).
  • Garantisce una sicurezza inferiore rispetto all’analisi whitebox.

Note sull’autore: Saverio Rizza lavora nel settore IT di un noto service provider occupandosi dell’analisi statica del codice di applicazioni enterprise. È docente di linguaggi web oriented. Ha svolto attività spaziando dai vulnerability assessment and mitigation alla scrittura di pattern di sviluppo sicuro.