Con l'avvento del Web 2.0 ed il successivo affermarsi del Cloud Computing, la maggior parte dei servizi aziendali tende sempre più a divenire servizio Web da utilizzare all'interno della propria infrastruttura interna
o avvalendosi del canale pubblico fornito dalla rete Internet. Quindi, le tecnologie con cui vengono sviluppate le Applicazioni Web ( tanto quelle client-side che quelle server-side ) sono e saranno sempre più
in futuro oggetto di una continua analisi al fine di scoprire nuove vulnerabilità e nuovi metodi di attacco a loro carico.
Memory Overflows, RFI/LFI e Sql Injections sono solo alcune delle piaghe che
possono affliggere quel complesso ed eterogeneo sistema software che prende il nome di architettura multi-tier ed è il risultato dell'interazione di Web Server, Application Server e Database di back-end.
A questo si aggiunga una recente e crescente tendenza dell'attaccante a concentrarsi sul lato client dell'applicazione utilizzando tecniche di tipo Social Engineering più o meno sofisticate e sfruttando
il ruolo del Web browser come punto debole per eccellenza ( Phishing, Drive-By, TabNabbing, XSS, CSRF, ecc... ).
Di fronte a quest'impressionante mole di vettori di attacco è necessario condurre sistematici
ed approfonditi test di valutazione delle Web Applications attraverso metodologie di analisi che siano aderenti ai principali standard internazionali in tema di "Sicurezza delle Applicazioni" ( Owasp, SANS Top 25, NIST ).
Infine, il feedback di una valutazione della robustezza delle applicazioni Web adottate in azienda permette ai decision-makers di essere maggiormente consapevoli nello scegliere il produttore di software migliore o
di segnalare ad un eventuale team di sviluppatori interni le problematiche da affrontare e risolvere.
|