Che cos'è un test di penetrazione delle applicazioni Web?
Un test di penetrazione delle applicazioni Web è un'attività progettata per valutare il comportamento di un programma basato su Internet durante un attacco o un exploit. Questi test utilizzano una varietà di programmi software per scansionare un'applicazione e quindi eseguire diverse azioni che potrebbero verificarsi durante un attacco effettivo. Un test di penetrazione delle applicazioni Web può essere eseguito da un team di sviluppo o da un fornitore di servizi di terze parti. Se viene utilizzato un fornitore esterno, il team di sviluppo o il personale IT (Information Technology) a volte non saranno informati del test da parte della direzione. Ciò può consentire a un test di penetrazione delle applicazioni Web di rilevare difetti che altrimenti sarebbero passati inosservati, il che può consentire di risolvere tali problemi prima del rilascio del software.
Le applicazioni Web sono pacchetti software a cui è possibile accedere e che funzionano su Internet. Queste applicazioni possono svolgere molte funzioni e in alcuni casi sono responsabili della gestione dei dati considerati privati o addirittura preziosi. Al fine di evitare attacchi compromettenti, in genere vengono eseguiti test di penetrazione per individuare eventuali punti deboli o aree facilmente sfruttabili nel codice.
I tipici test di penetrazione delle applicazioni Web iniziano con una fase di raccolta delle informazioni. Lo scopo di questo passaggio è determinare quante più informazioni possibili sull'applicazione. Inviando richieste all'applicazione e utilizzando strumenti come scanner e motori di ricerca, è spesso possibile ottenere informazioni come numeri di versione del software e messaggi di errore che vengono spesso utilizzati per trovare exploit in seguito.
Dopo che è stata accumulata una quantità sufficiente di informazioni, il prossimo obiettivo di un test di penetrazione delle applicazioni Web è eseguire una serie di attacchi e exploit diversi. In alcuni casi, le informazioni raccolte durante la prima fase identificheranno gli exploit a cui l'applicazione potrebbe essere vulnerabile. Se non vengono rilevate vulnerabilità evidenti, è possibile tentare una gamma completa di attacchi e exploit.
Molte diverse vulnerabilità tecniche possono essere individuate da un test di penetrazione delle applicazioni Web. Questi test in genere tenteranno di utilizzare metodi come la manipolazione universale delle risorse (URL), il dirottamento della sessione e l'iniezione strutturata del linguaggio delle query (SQL) per entrare in un'applicazione. Potrebbe inoltre esserci un tentativo di avviare un overflow del buffer o altre azioni simili che possono causare un comportamento anomalo di un'applicazione. Se uno di questi attacchi o exploit fa sì che l'applicazione riveli dati sensibili al tester di penetrazione, i difetti vengono in genere segnalati insieme a un corso d'azione suggerito.