Diventa Autore per CoreTech | Scopri di più





CoreTech assicura protezione dei siti Web con Acunetix

17/12/19 Digital360 Blog

In un sito Web possono nascondersi molti rischi. Dove un programmatore non ha sempre i mezzi per rimediare, si può intervenire con Acunetix, distribuita da CoreTech, per analizzare ogni pagina

La sicurezza IT è prima di tutto una questione di conoscenza. Ignorare i rischi di un comportamento o di un’applicazione significa di fatto spalancare le porte ad hacker di ogni tipo. Tra i compiti di un system integrator rientra quindi a pieno titolo anche la ricerca di ogni potenziale pericolo al quale i propri clienti possano essere esposti. E, solo dopo, la ricerca delle relative soluzioni.

«In Italia sono registrati circa tre milioni di domini .it - spiega Roberto Beneduci, CEO & Founder di CoreTech -. Una buona parte dei relativi siti Web si interfaccia con dati, siano essi inseriti dagli utenti attraverso moduli oppure prelevati da database, interni o esterni». E-commerce, registrazioni, prenotazioni e servizi di ogni tipo mettono ripetutamente un utente e il retrostante sistema IT in una situazione del genere. Dietro una considerazione, solo all’apparenza scontata, può nascondersi molto di peggio.

«Consideriamo, per esempio, un comune modulo, con una casella destinata all’inserimento di un dato – prosegue Beneduci -. Se a livello di codice non viene indicato espressamente un tipo, numero o testo, si lascia spazio a un hacker per trasmettere una stringa di codice al sistema, penetrare e da lì sferrare un attacco potenzialmente molto dannoso, ad esempio una SQL Injection».

Security by design: Acunetix risolve le “mancanze” nella programmazione

Nella sua semplicità, questo è un sistema più sfruttato ed efficace di quanto si possa pensare.

Soprattutto più di quanto riesca spesso a prevedere un programmatore. «Secondo il GDPR, le applicazioni dovrebbero esser sicure by design – osserva Beneduci -. In realtà, gli sviluppatori in genere non sono abbastanza preparati per prevedere ogni situazione, almeno fino a quando non si verifica nella pratica».

È solo una delle possibili situazioni a rischio nelle quali può venirsi a trovare una qualsiasi azienda esposta sul Web attraverso un sito, a propria insaputa. Una situazione presa molto sul serio da CoreTech, che in Acunetix ha trovato una soluzione all’altezza del problema.

«Il problema spesso è la sicurezza IT in mano a persone non adeguatamente preparate o in possesso dei giusti strumenti. La soluzione è affidarsi a un sistema automatizzato e la risposta migliore arriva da Acunetix. Uno strumento in grado di eseguire la scansione di un sito Web pagina per pagina alla ricerca di vulnerabilità».

Acunetix analizza in automatico pagina per pagina

La capacità unica del software Acunetix è nell’individuare in automatico le pagine contenenti funzionalità di input, alle quali applicare una serie di test sulla base di 4.500 vulnerabilità individuate e memorizzate nel proprio database.

Un lavoro non facile, dal quale dopo aver testato casella per casella, simulando un vero attacco, scaturisce un report dettagliato con eventuali problemi da risolvere, suggerendo anche le relative azioni da intraprendere. Acunetix fa con una scansione automatica quello che una persona impiegherebbe settimane o mesi se venisse eseguita manualmente!

Per i progettisti Web, un importante supporto in più a sostegno della qualità del proprio lavoro. Prima di loro però, un’interessante opportunità per i partner CoreTech, con a disposizione uno strumento inedito, utile a raggiungere un salto di qualità in termini di sicurezza. Soprattutto, in linea con gli standard per allinearsi al GDPR e soddisfare i requisiti per la certificazione ISO 27000.

Da Acunetix un’arma in più per i partner

«Abbiamo iniziato a distribuire Acunetix a ottobre, sollevando fin da subito un grande interesse. Per questo ci teniamo a preparare al meglio i nostri partner. Il primo approccio prevede un video corso di sei ore diviso in due sessioni: una teorica sulla sicurezza e una pratica sul prodotto».

Una soluzione grazie alla quale system integrator, service provider e software house possano presentarsi ai rispettivi clienti con una marcia in più. Dietro all’efficacia fuori discussione di Acunetix, il vero ostacolo è, comunque, a monte.

Banner

«Da una parte, il numero di siti Web dà un’idea del potenziale bacino di utenza – avverte Beneduci -. Dall’altra, rappresenta un tema ancora relativamente nuovo in Italia e il primo passo è proprio conoscere l’esistenza del problema e quindi l’utilità di uno strumento per risolverlo».

Ai system integrator il ruolo di portare cultura della sicurezza

Nell’occasione, il partner è quindi chiamato a presentarsi prima di tutto nel ruolo di evangelizzatore, dopo aver a sua volta approfondito la tematica. Per questo, CoreTech non risparmia l’impegno in webinar e formazione a tutto campo. In cambio, la prospettiva di cogliere opportunità non indifferenti e a tutt’oggi poco sfruttate.

«La sicurezza IT è al primo posto per investimenti, sia come consuntivo 2019 sia nelle intenzioni di spesa future. Gli imprenditori sono già abituati a parlare di sicurezza, ma solo rispetto agli argomenti noti. Al momento, invece, ancora nessuno del canale è andato a spiegare questo problema» lamenta Beneduci.

Rivendita o integrazione nei servizi: le opzioni per i partner

Davanti ai partner si prospettano due scenari con relative opportunità. Da una parte, la più tradizionale vendita di Acunetix con relativa consulenza alle aziende interessate e in grado di agire per conto proprio. Dall’altra la possibilità di integrare la soluzione nella propria offerta e proporre un servizio di scansione periodica con la fornitura dei relativi report.

In più, la possibilità inedita di avvicinarsi anche a un settore finora estraneo all’offerta tradizionale, il mondo degli sviluppatori. Spesso infatti, si trovano a dover affrontare situazioni per le quali non sono preparati, con un eccessivo carico di lavoro e responsabilità affidati a poche persone, quando non una soltanto.

«Dopo aver analizzato la situazione ci siamo resi conto che, ottimismo e poca conoscenza delle problematiche sulla vulnerabilità applicativa, sono un mix pericoloso che spesso sfocia in problematiche di sicurezza – conclude Roberto Beneduci – Con Acunetix system integrator e software house possono realmente ovviare a queste problematiche ed essere concretamente più sereni».


Articoli su Acunetix

Trovare le vulnerabilità dei siti web prima degli HackerL'importanza della convalida delle correzioni: lezioni da GoogleSDLC agile e sicuro - Best practiceIn che misura le aziende gestiscono la sicurezza delle applicazioni Web?Cross-Origin Resource Sharing (CORS) e intestazione Access-Control-Allow-OriginCosa sono i reindirizzamenti aperti?DevSecOps: come arrivarci da DevOpsIl bigino su SQL Injection per sviluppatoriSfruttare SSTI in ThymeleafSicurezza nginx: come proteggere la configurazione del serverRafforzamento del sistema Web in 5 semplici passaggiCos'è la sicurezza del sito Web - Come proteggere il tuo sito Web dall'hackingRapporto sulle vulnerabilità delle applicazioni Web Acunetix 2020Perché l'elenco delle directory è pericoloso?Cosa sono gli hack di Google?Cosa è l'attacco BEASTWeb Shells in Action - Rilevazione e prevenzione - parte 5Web Shells in Action - parte 4Mantenere le Web Shells sotto copertura - parte 3Introduzione alle web shell - parte 2: 101 Uso di PHPIntroduzione alle web shell - parte 1Debunking 5 miti sulla postura della sicurezza informaticaIniezioni di NoSQL e come evitarleConfigurazione passo passo di Acunetix con JenkinsCosa sono i riferimenti a oggetti diretti non sicuriAnche il più forte cade: un'iniezione SQL in Sophos XG FirewallAcunetix rilascia Business Logic RecorderCome recuperare un sito Web compromessoCome difendersi dagli hacker Black Hat durante la pandemia COVID-19Che cos'è l'inclusione remota dei file (RFI)?Apache Security - 10 consigli per un'installazione sicuraUn nuovo sguardo sugli attacchi correlati al proxy inversoVulnerabilità delle password comuni e come evitarleTutto quello che devi sapere sugli attacchi Man-in-the-MiddleChe cosa sono le iniezioni HTMLRed Teaming – 5 consigli su come farlo in modo sicuroTesta le tue competenze XSS utilizzando siti vulnerabiliPerché hacker malintenzionati hanno messo gli occhi sugli ospedaliPratiche di codifica sicura – I tre principi chiaveLa maledizione delle vecchie librerie JavaMutation XSS nella ricerca GoogleIgnorare SOP utilizzando la cache del browserCome e perché evitare reindirizzamenti e inoltri non convalidati?Dirottamento di sessione e altri attacchi di sessioneCome abbiamo trovato un altro XSS in Google con AcunetixChe cos'è un buffer overflowChe cos'è l'overflow di IntegerChe cos'è HSTS e perché dovrei usarlo?Che cosa è OS Command InjectionVulnerabilità delle entità esterne XML in Internet ExplorerCoreTech assicura protezione dei siti Web con AcunetixCoreTech distributore Acunetix a fianco dei partner per la CyberSecurityCyberSecurity applicativa, nuova opportunità per voi!