Web Application Penetration Testing è uno dei servizi di sicurezza applicativa (Application Security Assessment) più efficaci.
Le applicazioni web sono ormai prevalenti e sempre più sofisticate oltre ad essere critiche per tutti i business basati sul web.
Verranno analizzati i componenti critici di un portale web, un'applicazione E-Commerce o una piattaforma web.
Utilizzando tecniche manuali e centinaia di strumenti appropriati il tester è in grado di identificare problematiche evidenti e nascoste.
Come per le applicazioni client/server le applicazioni web generalmente soffrono di gestione impropria delle richieste del client e mancata o impropria validazione e controllo da parte dello sviluppatore.
Data la natura delle applicazioni web, esse sono completamente esposte ed accessibili, questo rende la "sicurezza tramite segretezza" impossibile e necessario codice applicativo resistente.
In secondo luogo le applicazioni web processano dati da richieste HTTP, un protocollo che permette una miriade di encoding e incapsulazioni diverse.
Il Report è un documento semplice e dettagliato che riassume i risultati dell'attività ed è suddiviso in tre differenti aree come precedentemente descritto:
All'inizio del Report e di lunghezza non superiore ad una pagina, è il riassunto di alto livello destinato al Management.
La parte tecnica che descrive nel dettaglio le vulnerabilità riscontrate e il loro impatto, dedicata al Security Manager.
Sezione tecnica con istruzioni precise su come risolvere le problematiche identificate, dedicata al System Administrator.
