In caso emergano vulnerabilità note o funzionalità critiche che richiedono verifiche approfondite, ti proporremo un test completo con un preventivo su misura.

La durata dell'attività di analisi dipende dalla complessità del target concordato in fase di contratto.

Per un'applicazione semplice o di media complessità, i test possono durare dai 5 ai 7 giorni. Per applicazioni web con diverse funzionalità, l'attività può durare anche 10 - 15 giorni.

Per sistemi più complessi che includono diversi target, l'attività potrebbe richiede almeno 20 giorni di test.

I test di sicurezza verranno effettuati dai nostri penetration tester professionisti certificati GIAC-SANS Institute e membri della community di hacker etici BackBox.

I nostri test di sicurezza web seguono le migliori metodologie internazionali e le linee guida OWASP. Analizziamo le vulnerabilità più critiche per prevenire attacchi e garantire la protezione dei dati.

Ecco alcune delle principali minacce che verifichiamo:

🔹 SQL Injection – Accesso non autorizzato ai database.

🔹 XSS (Cross-Site Scripting) – Iniezione di codice malevolo nei browser degli utenti.

🔹 Autenticazione debole – Credenziali compromesse o sessioni non protette.

🔹 Access Control errato – Privilegi non correttamente gestiti.

🔹 Information Disclosure – Esposizione involontaria di dati sensibili.

🔹 CSRF (Cross-Site Request Forgery) – Manipolazione delle richieste di utenti autenticati.

🔹 SSRF (Server-Side Request Forgery) – Sfruttamento dei server per richieste non autorizzate.

🔹 XXE (XML External Entity Injection) – Vulnerabilità legate ai file XML.

🔹 CORS Misconfiguration – Errata gestione della condivisione di risorse web.

🔹 Clickjacking – Manipolazione dell’interfaccia utente per ingannare gli utenti.

🔹 SSTI (Server-Side Template Injection) – Compromissione dei template lato server.

Il nostro Penetration Test aiuta le aziende a identificare non solo le vulnerabilità tecniche ma anche quelle chiamate "business logic", ovvero quelle create "by design" che sono difficilmente individuabili da tool automatici, ma necessitano dell'occhio dell'esperto per essere identificate.

Esistono vulnerabilità difficili da individuare con strumenti automatici e richiedono analisi manuale e test approfonditi per essere scoperte e mitigate. Esse riguardano soprattutto la logica del funzionamento dell'applicazione web (in inglese: "business logic vulnerability").

Esempi di vulnerabilità della logica di business sono:

• Bypass di workflow – Un utente riesce a saltare passaggi di verifica in un pagamento o una registrazione.

• Manipolazione di prezzi – Un e-commerce permette di modificare il costo di un prodotto senza controllo di integrità.

• Escalation di privilegi – Un utente può ottenere accesso a funzioni riservate senza autorizzazione.

• Race conditions – Due richieste simultanee possono generare errori nei dati o nei pagamenti.

Dopo l'attività di penetration test ti consegneremo un report tecnico con le vulnerabilità identificate, la procedura dell'attacco con i relativi screenshots, la soluzione per risolvere la vulnerabilità e l'elenco i risultati trovati classificati per livello di rischio. Richiedi un esempio di report a contact@avebitconsulting.com .

Sì, il report che forniamo può essere utilizzato come parte della documentazione per la conformità alla direttiva NIS2. Include evidenze tecniche, valutazioni del rischio e raccomandazioni operative in linea con i requisiti dell’Articolo 21. È uno strumento utile sia per il tuo responsabile della sicurezza sia per eventuali audit formali.

Certo, richiedi subito il nostro report di esempio. Scrivici a contact@avebitconsulting.com .

Certo. Il mondo della cyber security parla inglese. In fase in contratto potrai specificare se preferisci ricevere il report in inglese o in italiano.

Sì, l'attività di recheck di una giornata è inclusa nel servizio. Dopo che hai risolto le vulnerabilità rilevate, eseguiamo un nuovo test della durata di una giornata lavorativa per garantire che le azioni correttive siano state implementate in modo efficace. Quindi ti forniamo il documento tecnico aggiornato che riflette lo stato attuale della sicurezza della tua applicazione web.

Il costo di un penetration test varia in base alle dimensioni e alla complessità del progetto. Effettuiamo test di intrusione sia per siti web semplici, sia per applicazioni più complesse con molti ruoli utente e funzionalità. Forniremo un preventivo su misura dopo una chiamata iniziale per assicurarci di comprendere a fondo le tue esigenze e l'ambito dei test richiesti.