logo-unlock-security

Web Security

Verifichiamo la sicurezza della tua applicazione web eseguendo una simulazione di attacco per fornirti un rapporto dettagliato sulle vulnerabilità presenti e da risolvere.

Servizio di Web Security
Servizio di Web Security

Identificazione e correzione proattiva delle vulnerabilità

Il servizio Web Security consente di identificare debolezze e vulnerabilità che derivano da sviluppo del codice non sicuro. Scegliendolo, otterrai un report completo e approfondito delle criticità a cui sono esposte applicazioni, portali o servizi web, insieme ad un piano di risoluzione completo.

Logiche applicative
Analizziamo l'applicazione per comprenderne a pieno il funzionamento e individuare i punti critici su cui porre maggiore attenzione.
Ricerca vulnerabilità
Effettuiamo analisi approfondite per identificare potenziali punti di accesso tramite le criticità individuate.
Exploitation
Sfruttiamo le vulnerabilità identificate nelle fasi precedenti per ottenere accesso a sistemi, servizi, applicazioni o dati.
Post exploitation
Valutiamo il valore strategico degli asset compromessi per stimare correttamente il reale impatto delle vulnerabilità sul business.
Standard applicati nel servizio Web Security

Seguiamo i principali standard di settore

Il servizio Web Security viene effettuato dal nostro team di specialisti di sicurezza, seguendo rigorosamente i principali standard e linee guida di settore tra cui:

OSSTMM (Open Source Security Testing Methodology Manual)
NIST Cybersecurity Framework
OWASP WSTG (Web Security Testing Guide)
OWASP API Security Top 10
OWASP Top 10 Web Application Security Risks
Standard applicati nel servizio Web Security
Protezione del dato
Poniamo attenzione alla sicurezza del dato in termini di confidenzialità, integrità e disponibilità.
Calcolo impatti
L'impatto di ogni vulnerabilità individuata viene calcolato seguendo lo standard CVSSv3.1.
Piattaforma di test collaborativa

Eseguiamo i test in modo collaborativo

Tutti gli ethical hacker coinvolti in un'attività condividono i propri risultati in tempo reale su una nostra piattaforma online con accesso controllato ed esclusivo. Una soluzione semplice che garantisce molti benefici.

Massima copertura
La collaborazione massimizza la copertura dei test evitando di impiegare tempo su qualcosa che è stato già testato.
Qualità, sempre
ll project leader può monitorare in ogni momento che il test rispetti gli standard di qualità richiesti da Unlock Security
99% test, 1% report
Automatizzare la creazione del report permette ai tester di sfruttare al massimo il tempo a disposizione per i test.

Cosa mettiamo in sicurezza

Siti web
Siti vetrina o istituzionali, landing page o e-commerce
Applicazioni web
Applicazioni personalizzate o basate su CMS
Portali in cloud
Ovunque si trovi la tua applicazione
Gestionali
Analisi basate sul contesto applicativo

La nostra offerta

Ecco tutto ciò che ti offriamo con il servizio Web Security.

Ethical Hacker qualificati e certificati per la ricerca di vulnerabilità

Image link
Professional Penetration Tester
Professional Penetration Tester
È una certificazione di Ethical Hacking e Penetration Testing sulle tecniche di attacco contro reti, sistemi operativi e applicazioni.
Mobile Application Penetration Tester
Mobile Application Penetration Tester
È una certificazione che viene rilasciata agli esperti di cyber security che dimostrano una conoscenza avanzata della sicurezza delle applicazioni mobile.
Web Application Penetration Tester
Web Application Penetration Tester
È una certificazione che valuta le competenze dei professionisti di sicurezza informatica in materia di penetration test delle applicazioni web.
Formazione continua
Unlock Security investe continuamente nella formazione del personale per garantire un aggiornamento costante sui principali temi di cyber security.
Professional Penetration Tester
Professional Penetration Tester
È una certificazione di Ethical Hacking e Penetration Testing sulle tecniche di attacco contro reti, sistemi operativi e applicazioni.
Mobile Application Penetration Tester
Mobile Application Penetration Tester
È una certificazione che viene rilasciata agli esperti di cyber security che dimostrano una conoscenza avanzata della sicurezza delle applicazioni mobile.
Web Application Penetration Tester
Web Application Penetration Tester
È una certificazione che valuta le competenze dei professionisti di sicurezza informatica in materia di penetration test delle applicazioni web.
Formazione continua
Unlock Security investe continuamente nella formazione del personale per garantire un aggiornamento costante sui principali temi di cyber security.

Poniamo estrema attenzione al dettaglio per un report completo ed efficace

Image link
Rapporto Esecutivo
Sommario dei risultati ottenuti che riporta dettagli ad alto livello delle vulnerabilità, con lo scopo di fornire una panoramica dello stato di sicurezza del target.
Suggerimenti per il patching
Suggerimenti per gli sviluppatori sui rimedi che è possibile applicare per risolvere la problematica segnalata.
Dettaglio tecnico
Dettagli delle vulnerabilità individuate e dei relativi impatti sul sistema target. Permette agli sviluppatori di comprendere la problematica e il suo impatto.
Report multilingue
Possibilità di realizzare l'intero report sia in lingua italiana che in quella inglese.
Rapporto Esecutivo
Sommario dei risultati ottenuti che riporta dettagli ad alto livello delle vulnerabilità, con lo scopo di fornire una panoramica dello stato di sicurezza del target.
Suggerimenti per il patching
Suggerimenti per gli sviluppatori sui rimedi che è possibile applicare per risolvere la problematica segnalata.
Dettaglio tecnico
Dettagli delle vulnerabilità individuate e dei relativi impatti sul sistema target. Permette agli sviluppatori di comprendere la problematica e il suo impatto.
Report multilingue
Possibilità di realizzare l'intero report sia in lingua italiana che in quella inglese.

Supportiamo gli sviluppatori nelle diverse fasi di patching delle vulnerabilità

Image link
1
Presentazione
Organizziamo un incontro per presentare e dettagliare il report di sicurezza in ogni sua parte.
2
Validazione
Valutiamo e validiamo il piano proposto dagli sviluppatori per evitare errori nella fase di patching e ottimizzare i tempi di risoluzione.
3
Implementazione
Gli sviluppatori implementano la strategia concordata in fase di validazione e applicano le patch.
4
Verifica
Replichiamo gli attacchi per verificare la corretta implementazione del piano di patching.
1
Presentazione
Organizziamo un incontro per presentare e dettagliare il report di sicurezza in ogni sua parte.
2
Validazione
Valutiamo e validiamo il piano proposto dagli sviluppatori per evitare errori nella fase di patching e ottimizzare i tempi di risoluzione.
3
Implementazione
Gli sviluppatori implementano la strategia concordata in fase di validazione e applicano le patch.
4
Verifica
Replichiamo gli attacchi per verificare la corretta implementazione del piano di patching.

Ti offriamo un servizio di sicurezza che rispetta le necessità del tuo business

Image link
Analisi del codice sorgente
Possibilità di affiancare le analisi di sicurezza standard a un'analisi più approfondita basata sul codice sorgente.
Accesso ai risultati in tempo reale
Abbiamo ideato una soluzione ad-hoc per fornire accesso in tempo reale ai risultati ottenuti durante i test di sicurezza.
Attività continuative
Offriamo la possibilità di effettuare i test di sicurezza in modo continuativo garantendo una sicurezza duratura nel tempo.
Richieste particolari?
Siamo a completa disposizione per accogliere eventuali nuove proposte di modulazione del servizio per soddisfare le tue esigenze.
Analisi del codice sorgente
Possibilità di affiancare le analisi di sicurezza standard a un'analisi più approfondita basata sul codice sorgente.
Accesso ai risultati in tempo reale
Abbiamo ideato una soluzione ad-hoc per fornire accesso in tempo reale ai risultati ottenuti durante i test di sicurezza.
Attività continuative
Offriamo la possibilità di effettuare i test di sicurezza in modo continuativo garantendo una sicurezza duratura nel tempo.
Richieste particolari?
Siamo a completa disposizione per accogliere eventuali nuove proposte di modulazione del servizio per soddisfare le tue esigenze.

Domande frequenti

La sicurezza del web è una questione di fondamentale importanza per chiunque gestisca un sito web, sia esso un e-commerce, un blog personale o una piattaforma aziendale. In queste FAQ, rispondiamo ad alcune delle domande più frequenti che ci vengono poste.

È importante fare test di sicurezza sul tuo sito web perché possono aiutare a identificare eventuali vulnerabilità che potrebbero essere sfruttate da attaccanti per accedere ai tuoi dati sensibili o compromettere il tuo sito. I test di sicurezza possono aiutare a proteggere il tuo sito, i tuoi utenti e la tua azienda da questi tipi di attacchi.

La web site security può includere diverse attività, come la scansione del codice sorgente del tuo sito per cercare vulnerabilità note, l'esecuzione di penetration test per simulare diversi tipi di attacco e verificare la resistenza del tuo sito a questi ultimi e l'analisi della configurazione dei tuoi server per assicurarsi che sia sicura.

È importante fare regolarmente test di sicurezza per assicurarsi che il tuo sito sia protetto contro i web security threats emergenti e per mantenere la fiducia dei tuoi utenti.

Per mettere in sicurezza il tuo sito web con il servizio Web Security, devi assicurarti che soddisfi i seguenti requisiti:

  • Il sito web deve essere reso accessibile, tramite Internet oppure su rete privata, sia che si tratti di un ambiente di produzione, di sviluppo o di collaudo.
  • Sarà utile rendere disponibili tutte le informazioni necessarie per accedere al sito web, come ad esempio gli indirizzi IP, i nomi utente e le password. Queste informazioni saranno utilizzate dai Cyber Security Specialist per accedere al sito e simulare un attacco.

Se il tuo sito web soddisfa questi requisiti, potrai verificare la sua sicurezza e individuare eventuali vulnerabilità con il nostro servizio.

Il nostro servizio offre diversi vantaggi rispetto a una scansione automatica per quanto riguarda la sicurezza web. In particolare, il servizio Web Security simula un attacco informatico per identificare eventuali vulnerabilità e debolezze.

Inoltre, fornisce una valutazione più accurata della situazione di sicurezza rispetto a web security scan, poiché simula un attacco in modo reale, simile a quelli che potrebbero essere effettuati da un hacker vero e proprio. Un test effettuato da uno specialista può offrire una valutazione delle conseguenze e degli impatti di un attacco informatico sull'azienda, aiutando a definire le priorità e le misure di sicurezza da adottare.

Infine, il servizio Web Security può essere personalizzato in base alle specifiche esigenze dell'azienda, fornendo una valutazione più accurata e mirata della situazione di sicurezza.

Ci sono tre tipi di penetration test comuni, noti come "white box", "grey box" e "black box". Ecco le principali differenze tra questi tre tipi di test:

  • White box: durante un penetration test "white box", il tester ha accesso completo a tutte le informazioni sul target da testare, come il codice sorgente, la struttura del database o la configurazione del server. Questo tipo di test garantisce verifiche più approfondite e risultati migliori in termini di individuazione di vulnerabilità.
  • Grey box: durante un penetration test "grey box", il tester ha accesso limitato a informazioni sul target. Ad esempio, il tester potrebbe avere accesso ad alcuni utenti registrati sulla piattaforma per testare anche le funzionalità protette da login. Questo tipo di test è spesso utilizzato per simulare un attacco da parte di un utente esterno che ha accesso a alcune informazioni, ma non a tutte.
  • Black box: durante un penetration test "black box", il tester non ha alcuna informazione sulla configurazione del sistema e deve scoprirla durante il test. Questo tipo di test è spesso utilizzato per simulare un attacco da parte di un utente completamente estraneo ed esterno, che non ha alcuna informazione sul sistema.

In generale, i penetration test "white box" sono considerati i più accurati, poiché il tester ha accesso a tutte le informazioni necessarie per comprendere appieno la configurazione del sistema. Tuttavia, i penetration test "black box" possono essere più utili per simulare gli attacchi di utenti esterni e identificare le vulnerabilità che potrebbero essere sfruttate da questi utenti.

I contenuti della Open Web Application Security Project (OWASP) Web Security Testing Guide (WSTG) sono una serie di procedure e linee guida per aiutare gli sviluppatori e i tester a verificare la sicurezza delle applicazioni web. Il WSTG fornisce una lista di controlli di sicurezza da utilizzare durante il processo di sviluppo e test delle applicazioni web per assicurarsi che siano protette contro gli attacchi comuni.

I test del WSTG possono essere eseguiti in diverse fasi del processo di sviluppo di un'applicazione web, come durante la progettazione, lo sviluppo e il test. Possono includere attività come la scansione del codice sorgente per identificare vulnerabilità note, la verifica della sicurezza delle password, la protezione dell'input degli utenti e la verifica della sicurezza delle comunicazioni.

Il WSTG fornisce anche linee guida per la configurazione di un ambiente di test sicuro e per la pianificazione di un piano di test di sicurezza completo. Si consiglia di utilizzare il WSTG come guida per aiutare a garantire che le applicazioni web siano sicure durante lo sviluppo e il test.

Sì, il servizio può includere il test delle API (Application Programming Interface). Le API vengono utilizzate dalle applicazioni per scambiare dati e interagire tra loro attraverso un'interfaccia definita. Se le API non sono progettate e implementate in modo sicuro, possono essere vulnerabili agli attacchi.

Per avere un'anteprima dei test che effettuiamo sulle API puoi dare un'occhiata alla OWASP API Security Top 10. È una lista delle dieci principali vulnerabilità di sicurezza per le API (Application Programming Interface) che le organizzazioni dovrebbero seriamente tenere in considerazione.

Il NIST Cybersecurity Framework (CSF) è un insieme di linee guida sviluppato dal National Institute of Standards and Technology (NIST) degli Stati Uniti per aiutare le organizzazioni a gestire i rischi di sicurezza informatica. Il CSF fornisce un insieme di principi e pratiche consigliate per la gestione della sicurezza informatica che le organizzazioni possono adottare per proteggere i loro sistemi e i loro dati.

Il CSF è stato progettato per essere flessibile e adattabile, in modo che le organizzazioni possano utilizzarlo per adattare le loro strategie di sicurezza alle loro esigenze specifiche. Il CSF è suddiviso in cinque categorie: Identificazione, Protezione, Rilevamento, Risposta e Recupero. Ognuna di queste categorie include una serie di obiettivi e linee guida per aiutare le organizzazioni a gestire i rischi di sicurezza informatica.

Il CSF viene utilizzato da molte organizzazioni, sia pubbliche che private, per aiutare a proteggere i loro sistemi e i loro dati. Viene spesso utilizzato come uno standard di riferimento per la sicurezza informatica e come guida per la creazione di politiche e procedure di sicurezza.