È infatti probabile che la nostra applicazione presenti delle falle di sicurezza che noi in realtà pensavamo di non aver, involontariamente, inserito durante il suo sviluppo.
Come possiamo verificare quanto è sicura la nostra applicazione?
Io vi consiglio OWASP.
OWASP è un applicativo installabile per Windows, Linux e MacOS che consente di rilevare eventuali vulnerabilità della nostra applicazione. Scaricabile da: https://www.zaproxy.org/download/
La sua installazione è molto rapida basterà infatti scaricare il file di installazione ed eseguirlo.
Una volta lanciato l’applicativo avremo davanti ai nostri occhi una schermata simile a questa:
Per partire con la scansione sarà sufficiente inserire l’URL della nostra WebApp in “URL to Attack” e premere su “Attack”.
Partiranno una serie di scansioni automatiche tra le quali:
- Spider control, per verificare tutti i path navigabili della nostra applicazione
- SSX control per rilevare la possibilità di usare attacchi di tipo Cross-site scripting
- SQL Injection per verificare la possibilità di utilizzare tale vulnerabilità
Inoltre con un po’ di malizia e skill si potranno anche eseguire delle scansioni dei servizi attivi sul Server che ospita la nostra applicazione web, tentare dei brute force su una pagina di login o anche intercettare delle richieste HTTP per poi modificarle e rispedirle ottenendo così importanti in formazioni.
Nella colonna di sinistra sotto “Sites” verranno indicati URL/Path della nostra applicazioni con delle pratiche bandierine colorate per indicare se è presente una vulnerabilità e la sua gravità (indicata dal colore).
Restate sintonizzati per altri approfondimenti di Axiante Digital, tramite la nostra sezione Insights oppure sulla nostra pagina Linkedin.
