SICUREZZA DEI SITI WEB E DELLE WEB APPLICATION

Spesso gli attacchi ai siti web e alle web application vengono portati avanti attraverso i normali canali HTTP e HTTPS e perciò i firewall non possono fornire adeguata protezione.

Occorre dunque utilizzare dei criteri di sicurezza “technical FCS” applicabili durante lo sviluppo dei siti e delle applicazioni WEB e durante la configurazione delle applicazioni e dei server web, di applicazione e database server. E’ necessario cioè eliminare  quei fattori tecnici che costituiscono le armi a disposizione di chi porta l’attacco.

Derivati dallo studio sulle tipologie di attacco ai siti web e alle Web application, i Technical FCS (Fattori critici di successo) nella lotta contro i crimini informatici nel Web consentono di prevenire i danni economici o di immagine che possono derivare dagli attacchi a siti istituzionali, aziendali, di e-commerce e alle applicazioni aziendali Web.

Sono stati considerati attacchi, tra gli altri, alle varie tipologie di sistema operativo (Windows, Unix/Linux), linguaggi (HTML, DHTML, XML, XHTM, PERL, PHP, Java, Javascript, linguaggi di script Unix, Applescript, Jscript, JSP, JHTML, C/C++...), ambienti per lo sviluppo di applicazioni come Coldfusion studio, Microsoft Acive Server Pages ASP, l’uso di Active x, CGI, SSI. Inoltre il server web Microsoft Internet Information Server IIS, Apache, server Netscape, Server Web Zeuss, BEA Weblogic, server IBM Websphere, i database Microsoft SQL server, Oracle e altri.

MODALITA’ D’INTERVENTO

L’intervento di consulenza e formazione è composto da due fasi. Una prima fase che comprende un passaggio di know-how al personale interno sui criteri chiave nella lotta agli attacchi portati avanti tramite web, in modo da evitare di essere vulnerabile a tipologie di attacco che in passato hanno causato danni a volte importanti a varie organizzazioni. L’obiettivo è fornire agli sviluppatori e alle persone addette alla configurazione dei sistemi e delle applicazioni strumenti e know-how che consentano di  effettuare un mantenimento sistematico nel tempo della sicurezza dei siti e delle applicazioni web.

Una seconda fase che comprende una attività di “Vulnerability assessment”, avente l’obiettivo di far partire operativamente la messa in sicurezza  individuando eventuali vulnerabilità presenti che richiedono un intervento immediato.

L’intervento viene fatto precedere dalla stesura di un protocollo di intervento che viene concordato con il cliente con le modalità e l’estensione del controllo. L’attività di assessment focalizzata su una certa classe di minacce può essere estesa, se desiderato, con un intervento più generale di Risk assessment dei sistemi informativi.

    Per contattarci:

        STUDIO DELL'AGNELLO S.r.l.
        Tel.: +39 06 9391095 
        Fax: +39 06 93954330
        E-mail: studio@studiodellagnello.it