Controllo di sicurezza delle applicazioni

Il controllo di sicurezza delle applicazioni è progettato per rilevare potenziali minacce di sicurezza e lacune delle singole applicazioni. In caso di attacco ostile infatti, queste possono permettere modifiche non autorizzate che potrebbero influire sulla riservatezza, disponibilità ed integrità dei dati nell’applicazione stessa (per esempio accesso non autorizzato, modifica dei dati, malfunzionamento dell’applicazione).

Le applicazioni possono funzionare in base a diverse tecnologie (web, mobile, classiche). Indipendentemente dal loro tipo, le minacce di sicurezza possono essere collegate a:

  • Cliente
  • Rete o percorsi di trasmissione
  • Infrastruttura del server.

Il controllo di sicurezza delle applicazioni viene effettuato in più fasi all’interno delle quali studiamo in modo dettagliato l’architettura dell’applicazione, i suoi componenti e il suo funzionamento. Tipici difetti sono:

  • accesso ai dati senza previa registrazione;
  • archiviazione locale dei dati non idonea;
  • esecuzione di azioni a nome di un altro utente, ad esempio attivazioni e disattivazioni di sistemi
  • modifica della password di un altro utente e il conseguente uso del suo account;
  • aumento di privilegi dei diritti di utente che danno la possibilità di eseguire operazioni privilegiate (ad esempio variazione dei prezzi);
  • accesso e modifica dei dati di un altro utente.

Con un controllo di sicurezza dettagliato, comprendente anche la registrazione degli utenti, riceverete una chiara risposta alla domanda se i controlli di sicurezza nell’applicazione sono adeguati.

I difetti nella sicurezza possono essere rilevati nel modo più dettagliato tramite il controllo del codice sorgente delle applicazioni, essendo proprio gli errori di codifica la principale fonte di problemi. A questo punto è importante che il codice sorgente venga controllato dagli esperti di sicurezza applicativa che non hanno collaborato nello sviluppo dell’applicazione.

Il controllo del codice sorgente viene svolto in più fasi per cui il cliente fornisce tutte le informazioni disponibili (metodo »white box«). Nella prima fase viene usato un software specifico che identifica potenziali falle di sicurezza all’interno del codice sorgente. Dopodiché il risultato viene controllato dettagliatamente a mano assieme agli autori del software da parte del cliente e del consulente per la sicurezza e per evitare falsi positivi. Nell’ultima fase i difetti di sicurezza riscontrati vengono confermati con il test di penetrazione.