Il Pentest come misura preventiva
La sfida del Cliente
Una delle principali cooperative di consumo in Italia, con un vasto numero di punti vendita, era preoccupata per la sicurezza del suo sito web vetrina e voleva assicurarsi che fosse a prova di hacker. Il sito web fungeva da importante strumento di marketing e informazione per i consumatori. Le principali aree di preoccupazione erano:
1. L’esposizione alle vulnerabilità comuni come SQL injection, cross-site scripting (XSS) e altre forme di iniezione di codice.
2. La Protezione delle Informazioni dei Consumatori registrati nel sito web.
3. La sicurezza che solo gli utenti autorizzati potessero accedere alle aree riservate del sito.
La soluzione di Avebit
Per affrontare le preoccupazioni della cooperativa, abbiamo proposto un penetration test completo, strutturato secondo le migliori pratiche e metodologie riconosciute a livello internazionale. I nostri test prevedevano sia scansioni automatiche delle vulnerabilità note, sia test manuali approfonditi per individuare le falle createsi a causa di una logica di business errata. Abbiamo adottato sofisticate tecniche di exploit ed effettuato la validazione dei risultati per eliminare la presenza di falsi positivi. Infine abbiamo fornito al cliente un documento contenente i risultati ottenuti e il loro impatto potenziale, oltre alla procedura degli attacchi e le raccomandazioni da adottare per correggere le vulnerabilità.
Risultati e Conclusioni
Il penetration test condotto ha rilevato diverse vulnerabilità critiche e aree di miglioramento. Per esempio è stato individuato un problema di autorizzazione, come la possibilità da parte di un utente non autenticato di aggiungere prodotti al carrello di un altro utente autenticato. Questa falla poteva essere sfruttata per manipolare gli ordini e causare confusione o danni finanziari. Inoltre, la pagina di recupero password consentiva agli attaccanti di determinare se un indirizzo email fosse associato a un account esistente.
Questa vulnerabilità poteva essere utilizzata per tentativi di phishing o altri attacchi mirati. Infine, abbiamo identificato varie istanze di perdita di informazioni (info leakage) che rivelavano dettagli di sistema e di configurazione che potevano essere utilizzati dagli attaccanti per pianificare ulteriori attacchi.
Il Valore Aggiunto di Avebit
Il nostro valore aggiunto risiede nell'esperienza e nella competenza dei nostri esperti penetration tester certificati. I vantaggi principali del nostro approccio includono:
1. Identificazione delle Vulnerabilità di Logica di Business: I test manuali ci permettono di identificare problemi specifici della logica di business che gli strumenti automatizzati non riescono a rilevare.
2. Eliminazione dei Falsi Positivi/Negativi: La verifica manuale da parte di esperti garantisce che i risultati siano accurati e affidabili, riducendo al minimo il rischio di falsi allarmi.
3. Approccio Metodologico Completo: Seguiamo rigorosamente le metodologie OWASP e OSSTMM, assicurando che ogni aspetto della sicurezza del sito sia valutato in modo approfondito.
4. Raccomandazioni Pratiche: Forniamo raccomandazioni dettagliate e pratiche per la mitigazione delle vulnerabilità, aiutando la cooperativa a migliorare significativamente la sicurezza del loro sito web vetrina.