Listino Supporto Partner Contatti 800 13.40.41

KNOWLEDGE BASE

Knowledge Base
× Non sei ancora nostro cliente Acunetix? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Vai al Video

Il Pen Testing applicativo con Acunetix

L’avvento del cloud computing e l’evoluzione delle tecnologie erogabili via browser, hanno reso le applicazioni web un core business di molte aziende, ma nello stesso tempo le hanno fatte diventare un target molto ambito dagli hacker. Le tradizionali misure di firewall, SSL e hardening di rete possono fare poco contro l’hacking delle applicazioni web, giacché gli attacchi vengono condotti tramite HTTP e HTTPS, cioè gli stessi protocolli usati per servire contenuto ad utenti legittimi.

Acunetix è il leader mondiale della web security ed ha alle spalle una lunga esperienza nel settore, tanto che già nel 2005 propose uno scanner di vulnerabilità web completamente automatizzato.

Oggi mette a disposizione uno dei prodotti più validi per quanto riguarda il Penetration Testing delle applicazioni e in questo tutorial, dopo aver fatto una panoramica sul mercato, analizzeremo da quali pericoli Acunetix può difenderci, valuteremo il trend di settore e infine entreremo nello specifico di cosa si intende per applicazioni web.

Acunetix è uno strumento totalmente automatizzato che alleggerisce il carico di lavoro del team security e presenta un ridotto tasso di falsi positivi; inoltre è in grado di individuare vulnerabilità che non vengono riportate da altri prodotti perché combina il meglio delle tecnologie di scansione dinamica e statica e sfrutta un agente di monitoring separato.

Acunetix fornisce funzioni di gestione delle vulnerabilità e di reportistica della compliance, consente di assegnare priorità ai problemi individuati, di classificarli e testarli. Infine, offre un’integrazione nativa con Issue Tracker (come Jira, GitHub e GitLab) per automatizzare il processo di bug fixing e strumenti di Continuous Integration (CI) come Jenkins per automatizzare la scansione delle nuove build.

In questo tutorial inquadreremo il contesto in cui opera e, nello specifico, faremo una panoramica sui rischi cui sono esposte le Web Application e i siti web mercato, analizzeremo da quali pericoli Acunetix può difenderci, valuteremo il trend di mercato e infine entreremo nello specifico su cosa si intende per applicazioni web.

Analisi del mercato e rischi connessi

Vediamo dunque cosa fa Acunetix, quali sono le vulnerabilità più comuni che va a rilevare, chi garantisce la sicurezza e cosa c’è dietro una vulnerabilità, facendo un esempio chiarificatore.

Partiamo con l’immagine seguente che propone un grafico relativo a un survey fatto da ID per conto di Assintel in cui si vede che nel panorama italiano ma vale anche per tutto il resto del mondo, l’implementazione di sicurezza nell’immediato è tra le priorità di tutte le aziende. Quindi il grafico ci dice che tutte le aziende vogliono la sicurezza informatica a diversi livelli.

Ora se andiamo più nello specifico e vediamo un report fornito da Gartner (immagine seguente) possiamo vedere come ogni settore relativo alla sicurezza sia cresciuto negli anni: sicurezza applicativa, sicurezza dei dati, Cloud Security ecc. Effettivamente c’è stata una crescita valutabile come conseguenza del fatto che si è verificata un’intensificazione degli attacchi a qualsiasi livello. 

Sempre secondo Gartner, da qui al 2020 almeno la metà delle applicazioni business relative alla sicurezza, ossia la distribuzione di software per la sicurezza, saranno soluzioni erogate tramite piattaforma e quindi verranno gestite sotto forma di Security as a Service.

Vediamo ora quali sono i pericoli relativi all’infrastruttura IT aiutandoci con l’immagine seguente, la quale propone il report sulla sicurezza ICT in Italia stilato dal Clusit (associazione italiana per la sicurezza informatica); qui possiamo vedere una panoramica e rispettiva ripartizione delle attività del cyber-crime per tipologia di attacco. Vedete che il cyber-crime manifesta numeri crescenti negli anni, mentre calano le attività di Hacktivism. Sabotaggio e spionaggio manifestano anch’essi numeri in salita, come anche il cyber warfare e il resto.

Queste stime sono i numeri delle registrazioni fatte solo per l’Italia, ma attenzione perché questi sono solo quelli che sono stati effettivamente registrati; quindi c’è una grandissima parte di attacchi subiti dalle aziende che non vengono in realtà tracciati, perché non tutti si mettono a raccontare i problemi che hanno avuto.

Sempre dai dati del Clusit del rapporto 2019 sulla sicurezza, vediamo che la buona parte di tutti gli attacchi sono relativi al cyber-crime, intendendo con ciò la cifratura dei dati per ottenere riscatti, attacchi DoS (Denial-of-Service) e via dicendo. 

Per chiudere la panoramica vediamo, infine, un grafico che ci dà una un informazione sull’andamento nel tempo della tipologia di attacchi: da esso (immagine seguente) vediamo che il cyber-crime è in crescita costante dal 2014 al 2018 e cresce anche, seppure con numeri ridotti, lo spionaggio.

Sicurezza relativa alle Web App

Quando parliamo di sicurezza relativa alle applicazioni web intendiamo che ci troviamo di fronte a qualcosa di consistente, dal momento che al 2016 nel mondo si potevano contare 1,3 miliardi di siti web; se restringiamo il cerchio e guardiamo l’Italia, contiamo oltre 3 milioni di domini .it, con una media giornaliera di registrazione di nuovi domini intorno alle 2 mila unità, con circa 900 cancellazioni. Quindi nel nostro Paese giornalmente si riscontra un saldo positivo di 1.100 siti, che non vuol dire necessariamente applicazioni web. Peraltro è  riduttivo pensare soltanto ai domini .it, perché in Italia facciamo uso di tantissime altre estensioni, quindi i siti effettivamente sono di più.

Ad ogni modo in l’Italia è posizionata sul mercato europeo in sesta posizione per numero di domini registrati locali e viene dopo il Regno Unito che ne ha 18 milioni e la Germania che ne conta 10.

Ora, secondo un report su un target di 10.000 siti scansionati in 12 mesi ha rilevato che il 46% dei siti contengono vulnerabilità di tipo High severity e che l’87% contiene vulnerabilità Medium Severity.

Tanto per darvi un’idea di cosa significhino questi numeri, pensate che sul sito della British Airways, che certo non è l’ultimo per sicurezza, sono stati sottratti 380.000 nominativi titolari di carta di credito. Quindi le vulerabilità affliggono moltissimi siti.

Acunetix è stata la prima azienda che si è dedicata alla realizzazione di uno scanner in grado di fare la vulnerability web scan in maniera automatizzata; non a caso è stato utilizzato da aziende di livello mondiale per progettersi dagli attacchi informatici.

Visitando il sito web di Acunetix o la relativa pagina prodotto su www.coretech.it potete trovare tutte le informazioni ed anche il form per la sottoscrizione (immagine seguente); vedrete anche le relative referenze e quanto può darvi un’idea della diffusione e reputazione di Acunetix.

Le Vulnerabilità più comuni secondo OWASP

Quando parliamo di vulnerabilità applicativa è importante conoscere la top ten list dell’OWASP, che è un’organizzazione no-profit (www.owasp.com) che ha redatto dei documenti nei quali indica quali sono le principali 10 vulnerabilità riscontrate nell’anno passato; ebbene, secondo il report più recente le prime dieci vulnerabilità da prendere in considerazione sono quelle riportate nell’immagine seguente.

Quindi un’applicazione web oggi, qualunque essa sia, deve essere almeno certificata immune, se possibile, almeno alla prime 10 vulnerabilità indicate affinché si possa considerare un’applicazione con i criteri richiesti anche, ad esempio, dal GDPR.

Ora, la prima domanda che sorge spontanea è: “chi oggi garantisce che le applicazioni web siano sicure?” La risposta è: “i programmatori e soluzioni tecnologiche come i WAP (Web Application Firewall) e le tecnologie IPS (Intrusion Protection System).

La seconda domanda che consegue alla prima è: “i programmatori sono preparati a garantire la sicurezza?” Purtroppo la risposta è che non sempre lo sono, perché l’esperienza insegna che le persone si preoccupano della sicurezza solo dopo che hanno vissuto le conseguenze di un “incidente” per cui hanno imparato, ad esempio, che relativamente all’applicazione web, dei malintenzionati possono entrare, fare una security injection e rubare dei dati oppure inserire all'interno del database informazioni che niente hanno a che fare con l’applicazione o con lo scopo della dell’applicazione pubblicata.

Acunetix - vulnerabilità applicativa e Pen Testing

Ora andiamo a fare un esempio che permette di capire cosa c’è dietro una vulnerabilità applicativa e lo spieghiamo con l’immagine seguente, dove abbiamo un piccolo form all’interno del quale si vanno a inserire nome, cognome, ragione sociale. e-mail e numero di telefono. Tenete presente che non c’è una correlazione tra questo form e il codice che vedete sotto, ma quanto vi proponiamo serve a chiarire il concetto.

Prendiamo ad esempio il campo del telefono: se il programmatore non ha fatto in modo che quanto viene scritto in tale campo (quindi un campo dove va inserito un numero, perché il telefono è un campo numerico, a parte il simbolo + del prefisso internazionale) venga trasformato in un intero (variabile int), ovvero se la quantità inserita nel campo di inserimento dati non viene convertita a intero, il rischio che viene a crearsi è che ci troviamo, in un campo del database corrispondente dove dovrebbe esserci un numero, magari del testo e se questo testo è di tipo malevolo, quindi se è del codice malevolo, ci andiamo a ritrovare all’interno del database qualcosa che potrebbe alterarne il funzionamento e creare danni. Ci troviamo quindi di fronte a una vulnerabilità.

In questo caso d’esempio è possibile operare la sanificazione, ovvero rimuovere la vulnerabilità, che nel caso specifico è evidenziata in bordeaux nell’immagine e nel codice; invece nella riga verde di codice trovate la soluzione, perché viene mostrato che ciò che mettiamo tra le due parentesi (int), a livello di codice (corrispondente al campo del telefono) deve essere trasformato intero.

Questo è un esempio banale di una best practice dal punto di vista dello sviluppo, adottando la quale si riesce a evitare che l’esposizione di un campo non si pensava potesse creare problemi, riesca a diventare veramente un pericolo per la vostra la vostra applicazione.

Passiamo invece a un caso più specifico e reale, relativo proprio al sito British Airways, che soffriva della mancanza di un sistema automatico per identificare le problematiche verificatesi; attraverso il cross-site scripting degli hacker sono riusciti a inserire all’interno del codice di una pagina specifica dove c’era il carrello l’URL https://baways.com eccetera che non corrispondeva effettivamente a quello del dominio reale di British Airways, ma a un dominio che gli hacker hanno comprato appositamente per fare questo hacking e tra l’altro hanno anche comprato il certificato comodo per rendere la connessione pirata https certificata e quindi affidabile per le transazioni, così da riuscire a catturare i dati delle carte di credito di chi pagava.

Questo è un esempio che dovrebbe rendere l’idea di come la mancanza di strumenti atti a garantire la sicurezza poi si trasforma in una falla enorme che ha visto compagnia portarsi creare un problema che riguarda quasi mezzo milione di persone.

Quindi questi due esempi di una sanificazione che servono a farvi capire che se il programmatore si dimentica di mettere anche solo int in un qualsiasi campo di un form può diventare un grande problema perché mostra il fianco agli hacker, esponendo un punto debole e se non ci sono strumenti che sistematicamente possono controllare le vostre applicazioni, allora vi trovate di fronte a un grandissimo problema, la cui soluzione avete delegato al buon senso dei programmatori e a delle best practice che magari non hanno mai conosciuto il fattore della sicurezza.

Quindi come si fa a sistemare questo genere di vulnerabilità e a chi o cosa ci affidiamo? La risposta è che bisogna fare dei Pen Test applicativi, ossia dei penetration test in cui viene simulato un attacco da parte di un malinetnzionato e gli attacchi possono essere eseguiti con azioni manuali o automatizzate.

L’obiettivo dell'attacco è realizzare un applicativo al fine di fornire informazioni sulle vulnerabilità che consentono o che consentirebbero a un potenziale attaccante reale di compromettere l’applicazione sotto l’aspetto della sicurezza dei dati. Il risultato del test è quindi un report dettagliato sulle vulnerabilità individuate.

Come opera un sistema automatizzato di Pen Test nel settore Web

Vediamo dunque il processo di esecuzione di un sistema di Pen Test automatizzato, quale è Acunetx,che si compone di tre fasi:

  • nella prima c’è una scansione e attraverso il crowling, che praticamente analizza il sito come se fosse un motore di ricerca alla ricerca di tutti i file e le cartelle che lo compongono;
  • una volta che è stato fatto il crawling di tutta la struttura del sito parte un ciclo di test dove vengono eseguiti, su ogni singola pagina, oltre 4.500 differenti controlli per testare vulnerabilità; quindi c’è un database di Acunetix che viene continuamente aggiornato, dove si trovano catalogate le vulnerabilità note e si va a cercare quelle;
  • l’ultima fase, al termine della scansione, prevede la stesura di un report

Ora, chi ha bisogno di un WAPT (acronimo di Web Application Penetration Test)? Sostanzialmente tutte le aziende che hanno una rete privata Internet per la quale devono garantire la continuità del servizio e la sicurezza e l’integrità delle informazioni.

Se prendiamo in mano la tabella seguente, estratta sempre dal report del Clusit sulla sicurezza 2019, ci troviamo tutte le tipologie e le categorie che sono state colpite da attacchi: vediamo un po’ di tutto, anche le ONG, per intenderci, sono state colpite; ma anche le scuole e l’università tantissimi enti governativi. Insomma, non ci sono settori che sono stati risparmiati dagli attacchi di ogni tipo.

Nella colonna di destra potete anche vedere il Trend, ossia se gli attacchi sono in crescita o in calo nel periodo osservato (2014÷2018) sempre relativamente alla tipologia di azienda o istituzione. Tutti i soggetti presenti nella tabella hanno portali e/o siti web che si interfacciano a fonti di dati, quali software house, Web Agency, Enti ospedalieri, siti di scommesse e di giochi on-line, siti di e-commerce, Social Network, Enti locali e istituzioni ecc. Generalmente tutte queste realtà sono tenute ad adottare un sistema che permetta di avere piattaforme sicure.

Qualcuno potrebbe chiedersi: “ma se utilizzo un CMS Open Source come ad esempio Wordpress,  Prestashop, Drupal, Magento o altri devo fare un Pen Test?” Assolutamente sì, perché buona parte delle debolezze si nasconde nei plugin (nelle estensioni, se preferite) i quali sono comodissimi, a volte gratuitie, però a volte vengono veramente sviluppati senza criteri e non sempre sono certificati per garantire la necessaria sicurezza.

Quindi se avete un qualsiasi sito che in qualche modo immagazzina informazioni tali per cui un’eventuale violazione dovesse diventare un problema per voi, che si tratti di Wordpress che è free o di qualsiasi altro sistema, un Web Application Penetration Test dovreste farlo.

Acunetix riserva una particolare attenzione a WordPress perché è il CMS più utilizzato e come tale è più esposto agli attacchi. Acunetix consente di individuare, in WordPress:

  • installazioni obsolete (anche di plugin e temi);
  • malware nascosto in temi e plugin;
  • assword deboli ad attacchi brute-force;
  • nomi di utenti WordPress che possono essere usati per social engineering;
  • file di configurazione wp-config.php pubblici;
  • suscettibilità ad attacchi brute-force XML-RPC.

Questi risultati possono essere alla base di ulteriori considerazioni di penetration testing.
L’integrazione con i Content Management System (CMS) non si ferma a WordPress: Acunetix protegge anche Joomla, Drupal, altri CMS e applicazioni custom. Ciò è possibile dato che che, tecnicamente, è una piattaforma technology-agnostic, cioè che non dipende dalla tecnologia che va a monitorare.

Andiamo ora a vedere chi dovrebbe interessarsi alla sicurezza e quindi implementare dei Pen Test; di seguito li abbiamo suddivisi in quattro categorie.

  • Managed Service Provider e System Integrator che vorranno includere l’attività di Web Pen Testing nella loro offerta, magari in quella Premium; chiaramente l’offerta non si potrà destinare a tutti i clienti perché ci sono clienti che non hanno necessità di un contesto applicativo per le loro piattaforme web.
  • Software House che sviluppano applicazioni fruibili con la formula SaaS; queste dovrebbero certificare almeno per loro stesse che le applicazioni sono state scritte rispettando criteri di sicurezza, almeno relativamente alla top ten OWASP.
  • Web Agency che sviluppano siti o web-app per la propria clientela e vogliono consegnare anche un security report relativo ad esse. 
  • Tutti i consulenti che si uniformano al GDPR o che devono certificarsi ISO 9000 e ISO27000, che sono in pratica la tipologia di interlocutori che in qualche modo è più tenuta a fornire al cliente una soluzione conforme alla sicurezza; potendo allegare alla documentazione che già viene prodotta per la conformità al GDPR e alle norme ISO, una dichiarazione di come e quando vengono eseguiti dei Pen Test, il giorno in cui dovesse capitare un incidente sarebbero tutelati. Infatti se si verifica un incidente bisogna avere tutte le carte in regola, perché se qualcuno ha prodotto un documento che certifica che è stato implementato un sistema di sicurezza, laddove si venga chiamati a rispondere di un incidente davanti a un giudice, si hanno le prove per dimostrare la propria ragionevole innocenza 

Diventare Ambasciatori della Sicurezza

Un aspetto da prendere in considerazione è che, oltre a conoscere e usare tecniche di Penetration Testing, bisognerebbe parlare ai propri clienti della loro importanza, giccché spesso la sicurezza del web è stata trascurata in passato. Insomma, bisogna diventare degli “ambasciatori della sicurezza” e quindi tutti coloro che oggi si trovano a poter parlare con i propri clienti possono iniziare a “mettere la pulce nell’orecchio” a chi in qualche modo può essere sensibile all’argomento. E anche a proporre la possibilità di fare un Per Test applicativo all’infrastruttura dei clienti, anche solo dimostrativo, per farne comprendere l’importanza.

Chiaramente per poter fare ciò bisogna innanzitutto acquisire le competenze, perché la rapida crescita dell’IT e del web ha fatto emergere la mancanza di competenze nell’affrontare la trasformazione digitale nelle piccole e medie imprese. Acquisire le competenze significa che non ci si può improvvisare e andare a dire ai clienti che si eseguono dei Pen Test senza conoscerne il significato, l’importanza e le tecniche, altrimenti si rischia di andare a vendere un servizio che potrebbe rivelarsi inadeguato, con tutte le conseguenze del caso.

Sul sito CoreTech sono fruibili dei videocorsi che spiegano cosa sono tutte le tipologie di attacchi informatici al web e in che modo utilizzare la piattaforma Acunetix, così da avere il know-how richiesto a chi si pone come ambasciatore della sicurezza.

Panoramica su Acunetix

Vediamo dunque in cosa consiste e come funziona Acunetix, partendo dal fatto che il prodotto esiste in due versioni: Acunetix 360 e Acunetix versione 12; quest’ultima è declinata sia in modalità on-premise che in Cloud e per utilizzarla basta un semplice computer senza troppe risorse di calcolo (ovviamente deve avere un’interfaccia di rete). Invece la versione Acunetix 360, che ha funzionalità più avanzate, è soltanto in Cloud ed è stata realizzata per soddisfare esigenze di quelle aziende che hanno necessità anche di gestire i processi.

Acunetix identifica le vulnerabilità di siti web e API e rispetto ai prodotti simili offre il più alto tasso di identificazione tra più di 4.500 vulnerabilità in app personalizzate, commerciali ed open source, con poco più dello 0% di falsi positivi.

Grazie alla funzione AcuSensor (IAST - Interactive Application Security Testing) consente di trovare e testare input nascosti che non vengono trovati dalle scansioni black-box (DAST - Dynamic Application Security Testing).

Il funzionamento di Acunetix può essere schematizzato con il diagramma di flusso proposto nell’immagine seguente, dove vediamo il processo di testing.

Passiamo dunque alla console o dashboard (immagine seguente) dalla quale si può vedere che Acunetix ci dà report relativamente alle vulnerablità riscontrate, divise in tre livelli: critiche (High Severity), intermedie (Medium Severity) e poco rilevanti (Low Severity).

 

Come possiamo vedere, una volta effettuata la scansione vediamo il risultato e nell’immagine abbiamo 56 vulnerabilità identificate come livello critico (alto) e 59 come livello critico medio.

Tornando al primo passaggio del Pen Testing con un sistema automatizzato, qui viene eseguita una scansione crawl del sito web sotto test e Acunetix ne ricava la struttura, come potete vedere nell’albero a sinistra nell’immagine seguente; Crawling avanzato e supporto all’autenticazione vi consentono di testare siti sviluppati in Javascript e SPA.

Una volta che viene ricavata la struttura che riepiloga le vulnerabilità per tipologia (Blind SQL Injection, Cross Site Script ecc.) e vengono poi individuate le specifiche pagine che soffrono di quella di quella vulnerabilità, relativamente alle quali la console fornisce una serie di dettagli relativi anche al codice che può compromettere quella parte specifica.

Quindi attraverso la console vengono forniti degli esempi di codice malevolo che è stato utilizzato per testare quella pagina e per svelare che effettivamente ha quella debolezza, il che permette di imparare dalle scansioni.

Attenzione che il report che fornisce Acunetix fornisce anche ulteriori informazioni utili: una volta trovata una vulnerabilità per cui il sito è facile da “bucare” e tale vulnerabilità è High Severity ma ha un livello di realizzazione (ossia di sfruttamento e attuabilità) low, abbiamo un’applicazione che chiunque, anche poco competente ma sfruttando dei tool che trova in Internet senza avere nessun tipo di competenza di sicurezza eccetera. Quindi nel report non è importante solo valutare il livello di severità ma anche il livello di complessità nell’attuazione di quel di quel livello di criticità e questo Acunetix ve lo segnala.

Acunetix fornisce anche un indicatore in cui visualizza lo stato di avanzamento del processo di remediation, ossia di sanificazione delle vulnerabilità esistenti.

Inoltre la dashboard permette di tenere traccia dei problemi risolti per comprendere se e perché ricompaiono.

Licenze - importanza della scelta relativa al Target

Parliamo delle licenze, ma prima dobbiamo spiegare che cosa sono i target: il Target è un sito web o un’applicazione web o un dispositivo di rete che si desidera sottoporre a scansione per rilevare vulnerabilità di sicurezza utilizzando il Pen Test. Ebbene, le licenze d’uso di Acunetix sono dimensionate in base al tipo e alla quantità di target.

Per esempio 127.0.0.1 e localhost consumano un target; domain.com e www.domain.com, ma anche siti http e https contano anch’essi come un target ognuno.

Invece i sotto-domini (per esempio www.domain.com e www2.domain.com) consumano due target, mentre URL differenti all’interno dello stesso dominio (ad esempio www.domain.com e www.domain.com/blog ) contano come un solo target; idem per porte diverse sotto lo stesso indirizzo (per esempio www.domain.com:8080 e www2.domain.com:8888) che valgono anch’esse 1 target.

Quanto appena spiegato vale per tutte le versioni di Acunetix, vale a dire on-premise e Online (Cloud).

Acunetix mette a disposizione una serie di siti di test in cui trovate elementi che vi permettono di acquisire familiarità con lo strumento; questi non vengono conteggiati come target e quindi non consumano alcun target.

Stabilito ciò, le licenze d’uso di Acunetix sono rilasciate a pacchetti, ossia blocchi di target che devono essere impostati e non possono essere modificati durante il periodo di validità delle licenze stesse, che può durare 1, 2 o 3 anni.

La soluzione on-premise prevede licenze d’uso Standard ed Enterprise (ora chiamata Premium, che è quella sovente rilasciata alle Autorità Governative). La soluzione Cloud fornita da CoreTech dispone delle funzionalità Premium e le informazioni relative ai report sono archiviate su Cloud CoreTech.

Facciamo un esempio: se dobbiamo testare 5 siti con la versione in Cloud, possiamo comprare la licenza base da 5 target; se abbiamo ulteriori destinazioni dei nostri test dobbiamo acquistare ulteriori pacchetti.

Per darvi un’idea delle feature implementate nelle versioni di Acunetix (quindi la Standard e la Premium on-premise e la Acunetix 360) riportiamo qui di seguito un prospetto.

Per quanto riguarda la versione 12, la licenza standard costa €3.685 mentre la Premium 5.735 all’anno; entrambi i costi sono riferiti al pacchetto di 5 target. Quello che fa la differenza tra la versione Standard e la Premium sono i report di conformità, ad esempio per la ISO27001 che non ci sono nella prima. Mancano poi la scansione continua, la possibilità di assegnare ai clienti la gestione dei target, la ricerca delle vulnerabilità di rete oltre che dei siti e delle web application, oltre a cose di minor rilievo.

Diciamo che l’elemento differenziante tra le due, quindi, è la possibilità di ottenere rapporti di conformità relativi alla sicurezza delle web app.

La ricerca delle vulnerabilità di rete è una funzione importante e Acunetix lavora effettuando scansioni in cerca di porte aperte, servizi in esecuzione e configurazioni errate (accesso FTP anonimo e cartelle con permessi di scrittura, proxy server mal configurati, stringhe SNMP deboli, algoritmi di cifratura TLS deboli). Il database di più di 50.000 vulnerabilità di rete note viene sfruttato per eseguire controlli sullo stato di sicurezza degli apparati di rete (firewall, router, switch, load balancer), la robustezza delle credenziali (FTP, IMAP, POP, SMTP, database, socket, SSH, Telnet) e gli stati relativi ai servizi DNS (trasferimento di zone, server ricorsivi e attacchi di tipo DNS cache poisoning).

Apriamo ora una parentesi su due funzionalità utilissime e implementate in tutte le versioni, vale a dire AcuSensor e AcuMonitor, per introdurre il principio secondo cui il Pen Testing si suddivide in black box Pen Testing e white box Pen Testing; in realtà esiste anche il Pen Testing grey-box.

Che cosa sono queste tre tipologie? Il black box è quello che generalmente viene fatto con Acunetix, dove si imposta qual è il target (un sito web) e il prodotto inizia il crawling di tutto il sito senza avere alcun tipo di accesso privilegiato; alla fine produrrà un report con tutte le informazioni relativamente alle debolezze riscontrate. In modalità black box è fornire dei dati di nome utente e password per le aree riservate, in modo che il sistema possa fare una login automatica al sito e scansionare anche le pagine che non si vedono se non si è loggati. Però questo è un tipo di scansione che può produrre un livello di accuratezza che non è il 100% e quindi fornire falsi positivi.

Nel momento in cui si utilizzano due tecnologie a disposizione di Acunetix, che sono AcuSensor e AcuMonitor, è possibile migliorare la precisione della scansione black box, ottenendo sostanzialmente i risultati di una grey box; AcuSensor è in sostanza un agente che può essere configurato per configurazioni php, DotNet e java, in grado di intervenire durante la scansione per identificare esattamente quali linee di codice sono bacate.

Questo implementa una scansione che è una via di mezzo tra black box e white box, quindi una grey box. AcuMonitor è uno strumento che realizza l’out-of-band vulnerability testing.

White box è invece l’estremo opposto, ossia vuol dire che si ha a disposizione uno strumento che conosce alla perfezione il linguaggio di programmazione utilizzato ed è quindi in grado di identificare con esattezza quando si sono commessi degli errori dovuti anche semplicemente alla sintassi. Questo è il livello più difficile di rilevazione degli errori e Acunetix non fa questo lavoro, anche perché una sintassi potrebbe portare ad avere una segnalazione che poi diventa un falso positivo.

Nella pratica abbiamo riscontrato che la scansione black box porta già a un risultato eccellente, perché con i report forniti e adottando le azioni correlate già avete tolto la possibilità di farvi danno al 95%÷ 98% degli hacker che ci sono in giro.

Acunetix 12: differenza tra licenze Standard e Premium

Vediamo ora di focalizzarci sulle differenze fra la licenza standard e la premium: a parte il prezzo inferiore, c’è il numero di target gestibili, che è a scaglioni di 5, 10 o 20 target, è previsto un solo  utente e non ci sono tutta una serie di altre piccole funzioni. I report vengono generati come nella Premium, tuttavia si tratta solo di dati utili ai fini tecnici e della manutenzione del sistema, che non hanno valore ai fini della conformità alle norme ISO né che possono essere esposti alla clientela come certificazione dello stato di sicurezza. Sono limitati essenzialmente alla rispondenza alla top ten secondo OWASP. Non sono inoltre inoltre previste le integrazioni con Issue Tracker, Tool IC, API, WAF ecc. e non è possibile la scansione continua.

Per contro la licenza Premium offre tutte queste cose, permette di creare account multi-utente e multi-ruolo e inoltre permette la gestione di un numero di target che fa da 5 a 50.000; i report hanno valore di certificazione e viene supportata la modalità multi-engine (si attiva automaticamente oltre i 75 target).

Esiste anche la possibilità di avere la licenza Consult, le cui caratteristiche sono riepilogate qui di seguito

  • singolo utente, singola installazione e report standard su elementi con vulnerabilità, in formazioni per gli sviluppatori, rispondenza OWASP top 10, notifica remedatio, CVSS;
  • report di compliance (non nella versione Lite);
  • non è supportata la scansione continua, quella delle Api e delle VM;
  • non è disponibile la funzionalità WAF né il supporto agli Issue Traker e le integrazioni C/ICD;
  • è possibile esportare i report in XML;
  • sono inclusi AcuSensor e AcuMonitor.

In pratica si tratta di una licenza per la quale in numero di target è 5, ma si possono cancellare; inoltre supporta un massimo di 5 scansioni contemporanee.

A sua volta questa licenza si divide in ConsultLite, che fornisce solo report di manutenzione ma non di conformità, Consult+ che fornisce report di conformità e Consult+5 scansioni concorrenti.

Acunetix 360: prestazioni a livello Enterprise

Acunetix 360 è la licenza che supporta tutte le funzionalità di Acunetix e che rispetto alle pur ottime caratteristiche della versione Premium on-premise consente di avere il controllo delle applicazioni web, servizi web e API. Inoltre permette di individuare rapidamente i target da testare sia tramite aggiunta manuale, sia tramite la funzione autodiscovery.

Acunetix 360 supporta la creazione di workflow personalizzati e automatizzati e questa è una funzione utile perché non tute le vulnerabilità possono essere sanificate automaticamente.

Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft