I test di sicurezza delle applicazioni web

21 febbraio 2007

Negli ultimi anni l’industria della sicurezza sta cambiando approccio rispetto alla percezione e alla risoluzione dei problemi di sicurezza nelle infrastrutture informatiche. Sino a qualche anno fa, le risorse dei dipartimenti preposti alla messa in sicurezza degli impianti venivano utilizzate per quello che viene spesso definito con il termine network security; oggi la situazione è molto diversa e quello che viene richiesto è spesso di garantire sicurezza a livello applicativo. Questa richiesta del mercato ha generato un interesse crescente verso aziende, centri di ricerca e comunità della rete che si occupano di software security; in maniera proporzionale sono apparse nuove tecnologie, nuove metodologie di test e nuovi strumenti software per fronteggiare questa necessità.

Il problema della ricerca di vulnerabilità nelle web application è un problema complesso ed eterogeneo, che comporta lo studio e l’analisi di diversi aspetti architetturali delle applicazioni.

Per la scelta degli strumenti automatici da adoperare è necessario, in primo luogo, identificare le tecnologie utilizzate e scegliere i tool più adatti al contesto applicativo; spesso però ci sono anche aspetti che si allontanano dalle considerazioni puramente tecniche come la disponibilità o meno del codice sorgente, l’assoluta necessità di testare il software sull’ambiente finale di deploy, di effettuare la revisione in diverse fasi del processo produttivo dell’applicativo stesso e così via. Le considerazioni appena fatte sono uno dei principali motivi per cui spesso non risulta possibile utilizzare un singolo prodotto per evidenziare tutte le tipologie di problematiche presenti in un software online.

Parlando di strumenti per l’analisi e la scansione di web application è inevitabile dover introdurre le diverse metodologie di analisi usate dagli strumenti software.

Analisi del codice sorgente

Si parla di analizzatori di codice sorgente quando lo strumento utilizza all’interno del processo di analisi il codice sorgente dell’applicazione.

Gli strumenti appartenenti a questa categoria (revisione statica) si basano principalmente sulla ricerca di pattern all’interno del codice sorgente al fine di identificare modelli di programmazione errati, che possono quindi introdurre problematiche di sicurezza. Nei casi più semplici questi software ricercano sistematicamente ogni occorrenza di funzioni potenzialmente pericolose al fine di segnalare al tester tutti quei casi di potenziale pericolo; è intuibile come questi software sono spesso inutilizzabili durante il testing di grosse applicazioni poiché la generazione di falsi positivi è troppo elevata.

Molti degli strumenti avanzati cercano di ridurre significativamente il numero dei falsi positivi attraverso l’analisi del flusso di dati all’interno del codice (dataflow analysis).

Se vuoi aggiornamenti su I test di sicurezza delle applicazioni web inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su I test di sicurezza delle applicazioni web

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy