CASE STUDY

VERIFICA DELLA SICUREZZA DI UNA WEB APP E-COMMERCE

UN ESEMPIO REALE DI CRITICITÀ RILEVATE ATTRAVERSO UN VULNERABILITY ASSESSMENT OWASP

Il caso pratico della verifica della sicurezza della rete interna aziendale rende facile comprendere come una leggerezza relativa alla gestione di una singola password di un’applicazione potrebbe consentire ad un attaccante malintenzionato di ottenere il controllo dell’intero dominio aziendale.

OGGETTO

L’azienda cliente si occupa di commercializzazione di prodotti per la casa e ha sviluppato internamente un marketplace e-commerce per la vendita online.

OBIETTIVO

Analizzare il livello di sicurezza dell’applicazione web esposta nella rete, cioè l’e-commerce.

METODO DI ANALISI

L’attività adatta per verificare le eventuali vulnerabilità di un’applicazione web è il Vulnerability Assessment Interno.
In questo caso specifico, abbiamo eseguito il Vulnerability Assessment secondo la metodologia OWASP (Open Web Application Security Project).

VULNERABILITÀ RILEVATE

Abbiamo rilevato fin da subito molteplici vulnerabilità, ad esempio una configurazione del server web che permetteva di fare l’upload di file.
01.

Durante i test abbiamo individuato una pagina nascosta, creata con l’obiettivo di consentire agli sviluppatori di monitorare alcune statistiche del server, ma non adeguatamente protetta.

Infatti, sfruttando la vulnerabilità di questa pagina, era possibile effettuare un attacco di DoS (Denial of Service), aumentando drasticamente il carico della CPU e rallentando i tempi di risposta dell’applicazione.

02.

Attraverso la ricerca di informazioni dell’azienda mediante OSINT (Open Source Intelligence) siamo riusciti a rintracciare numerose password utilizzate dagli amministratori del sito e, successivamente, a trovare la pagina di amministrazione.

03.

Analizzando la lista degli utenti, siamo stati in grado di identificare quali potevano accedere all’amministrazione del sito ed abbiamo quindi tentato un attacco bruteforce.

04.

Nel corso dell’attacco abbiamo anche potuto riscontrare che non erano presenti sistemi di sicurezza o di monitoraggio.

Abbiamo inoltre rilevato altre vulnerabilità del tipo cross-site scripting (XSS)1 , che permettevano ad un attaccante di violare l’account di qualsiasi utente rubando i cookies della sessione.

VALUTAZIONE DELLE VULNERABILITÀ

I test mediante metodologia OWASP sono stati utili per ottenere una visione ampia del funzionamento dell’applicativo e ci hanno permesso di rilevare numerose criticità e problemi di sicurezza nell’applicazione.

Se queste vulnerabilità fossero state sfruttate da attaccanti reali prima di essere individuate attraverso le nostre attività di sicurezza intrusiva, l’azienda avrebbe potuto subire danni di impatto rilevante per la sua stessa sopravvivenza:

non soltanto l’accesso abusivo e la perdita di controllo dei sistemi, con conseguente interruzione dei servizi e danni economici, ma anche la violazione di dati personali o segreti industriali, con possibili conseguenze legali e reputazionali.

SCOPRI I SERVIZI

vulnerability assessment servizi di cybersecurity

VULNERABILITY ASSESSMENT

penetration test linkspirit

PENETRATION
TEST

INIZIA SUBITO A PROTEGGERE LA TUA AZIENDA

CONTATTACI PER MAGGIORI INFORMAZIONI