EUERY Mongoose Web Security Scanner (ITA)
-
Upload
euery -
Category
Technology
-
view
428 -
download
0
description
Transcript of EUERY Mongoose Web Security Scanner (ITA)
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Una nuova piattaforma accessibile tramite Internet, in grado di diagnosticare autonomamente il grado di esposizione al rischio
informatico di siti ed applicazioni web fornendo, nel contempo, tutte le indicazioni necessarie per poter ottenere un livello di
sicurezza adeguato a scongiurare dannose intromissioni.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
© 2013 EUERY. Tutti i diritti riservati.
Mongoose notifica
all’utente il termine delle
operazioni, invitandolo a
visionare i risultati delle
analisi e le indicazione
per poter rimediare alle
problematiche.
L’utente digita
sul proprio
browser
l’indirizzo Web
della piattaforma
Mongoose.
L’utente inserisce
all’interno della
piattaforma Mongoose
l’indirizzo del sito o
dell’applicazione web
da analizzare.
L’utente effettua il
processo di
pagamento.
Mongoose opera
autonomamente per
ricercare sul sito o
sull’applicazione web
eventuali vulnerabilità
di sicurezza.
Mongoose consentirà ad aziende e privati di sviluppare e mantenere siti ed applicazioni web sempre più protette per una
presenza in Rete tutelata e responsabile.
Come funziona la piattaforma?
Per la sicurezza delle tue applicazioni web.
La certezza di esserci sempre. Quando ne hai più bisogno
Mongoose è un software il cui utilizzo ha la capacità di adattarsi alle tue necessità.
Massimizzandone l'utilizzo ed eliminando la presenza di risorse sprecate e non utilizzate potrai ridurre i costi, senza dover affrontare
investimenti onerosi.
Questo è possibile grazie ad un modello di distribuzione, Pay per Use, basato su Cloud Computing.
Mongoose ti libera della pesante esposizione economica legata all'acquisto di licenze consentendoti di ridurre anche le spese
dell’investimento iniziale.
Anche le piccole e medie aziende potranno finalmente dotarsi degli stessi strumenti in uso all’interno delle grandi Corporation.
Pagando solo quando necessario.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Senza rischi non sarebbe stata la stessa cosa
Mongoose estende le funzionalità dei tipici Web Security Scanner introducendo per primo un nuovo strumento per la comprensione e
la gestione del rischio informatico.
Da oggi, grazie a Mongoose, sarà possibile non solo identificare e stimare gli impatti delle varie tipologie di vulnerabilità di sicurezza
Web, sarà anche possibile individuarne i relativi rischi associati al proprio business.
Non saresti felice di scoprire fin da subito che la tua applicazione Web è al sicuro da potenziali frodi finanziarie o perdite di
immagine? Noi crediamo di si e abbiamo lavorato per offrirti questa serenità.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Per andare avanti bisogna poter guardare indietro
Mongoose vuole aiutarti a progredire nel tempo.
Questo può avvenire perché uno speciale strumento progettato per
confrontare i tuoi ultimi risultati di scansione con quelli ottenuti in passato
ti aiuta a tener traccia di ogni piccolo cambiamento.
Per la sicurezza delle tue applicazioni web.© 2013 EUERY. Tutti i diritti riservati.
Prima
Prima
Seconda
Terza
Quarta
Seconda
VULNERABILITÀ
Dal carattere futuristico. Ecco il nostro motore
Mongoose è dotato di tecnologia proprietaria Atilax progettata e sviluppata al fine di ridurre e
minimizzare il numero di falsi positivi e negativi durante i processi di rilevazione delle minacce di
sicurezza.
L'avanzata tecnologia euristica Atilax combina sapientemente più algoritmi di rilevamento per garantirti
un Web Security Scanner preciso e potente.
È ad Atilax che abbiamo affidato la rilevazione delle vulnerabilità di sicurezza quali SQL Injection, Cross
Site Scripting (XSS) e Directory Listing.
In EUERY esistono persone che ogni giorno si impegnano per rendere Atilax migliore, sempre più
efficace, sempre più efficiente.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Protezione da attacchi di tipo Cross Site Scripting (XSS)
Mongoose è in grado di identificare vulnerabilità di sicurezza di tipo Cross Site Scripting (Stored, Reflected).
Perché è importante rilevare questa tipologia di problematica?
È di fondamentale importanza riuscire a rilevare la presenza di vulnerabilità di tipo XSS.
Questa tipologia di problematica emerge quando siti ed applicazioni Web dinamici impiegano un insufficiente controllo dell'input nei form. Una vulnerabilità
di questo tipo potrebbe consentire ad un attaccante di attuare un insieme variegato di attacchi quali, ad esempio, raccolta, manipolazione e re-
indirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine Web.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Protezione da attacchi di tipo SQL Injection
Mongoose è in grado di identificare vulnerabilità di sicurezza di tipo SQL Injection (Blind, Error Based).
Perché è importante rilevare questa tipologia di problematica?
La vulnerabilità di tipo SQL Injection costituisce una tra le problematiche più critiche su siti ed applicazioni Web.
Questa vulnerabilità sfrutta l'inefficienza dei controlli sui dati ricevuti in input dagli applicativi al fine di consentire la manipolazione impropria delle query
SQL.
Un attaccante, sfruttando una simile problematica, potrebbe riuscire ad autenticarsi con ampi privilegi in aree protette del sito anche senza essere in
possesso delle credenziali d'accesso e di visualizzare e/o modificare dati sensibili gestiti dall’applicazione Web.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Protezione da problematiche di sicurezza legate alla presenza di risorse nascoste
Mongoose è in grado di identificare file e directory nascoste all’interno di siti ed applicazioni web.
Rientrano, ad esempio, in questa categoria di problematiche:
Backup files accessible PHPINFO() Pages accessible and PHPINFO() disclosure in other pages Sensitive file accessible CVS, GIT and SVN Information Disclosure
Perché è importante rilevare questa tipologia di problematica?
Durante il processo di sviluppo ed installazione di una applicazione Web è possibile assistere alla generazione, anche involontaria, di file e
directory non strettamente necessari al corretto funzionamento della stessa. Queste risorse, apparentemente non raggiungibili, potrebbero
contenere utili informazioni che un attaccante potrebbe sfruttare per condurre attacchi pià specifici sul sull’applicazione.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Problematiche di sicurezza legate alla presenza di configurazioni errate
Mongoose è in grado di identificare problematiche di sicurezza causate dall’errata configurazione di sistemi ed
applicazioni.
Rientrano, ad esempio, in questa categoria di problematiche:
XSS protection disabledTRACE / TRACK method support enabledPassword trasmitted / form server over HTTPViewstate is not encrypted / not signed
Perché è importante rilevare questa tipologia di problematica?
Configurazioni errate del Web server o dell’applicativo potrebbero consentire ad un attaccante di violare la riservatezza, l’integrità o la
disponibilità dei dati gestiti dall’applicazione. Le password di accesso potrebbero, ad esempio, essere intercettate e riutilizzate
impropriamente così come alcuni controlli di sicurezza implementati sui browser facilmente raggirati al fine di portare attacchi più letali.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Problematiche di sicurezza legate alla divulgazione di informazioni sensibili
Mongoose è in grado di identificare problematiche di sicurezza che potrebbero portare alla diffusione non autorizzata di dati
ed informazioni sensibili.
Rientrano, ad esempio, in questa categoria di problematiche:
Email address disclosureInternal IP address disclosure
Perché è importante rilevare questa tipologia di problematica?
Spesso all’interno del codice sorgente di siti ed applicazioni Web rimangono inavvertitamente memorizzate informazioni sensibili che potrebbero
essere utilizzate, se rilevate da eventuali attaccanti, per portare attacchi informatici più strutturati sull’applicazione. Un indirizzo di posta elettronica
non strettamente di pubblico dominio potrebbe essere utilizzato per condurre attività di Social Engineering o Phishing. Un indirizzo IP di una rete
privata potrebbe costituire un primo passo per la comprensione dell’intera infrastruttura di rete interna su cui l’applicazione viene eseguita.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Altre tipologie di problematiche rilevate da Mongoose
Cookies are not marked as Secure
Cookies are not marked as HttpOnly
Basic and Digest authentication obtained over brute forcing
Path Traversal / Local File Inclusion
Directory Listing
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Supporto all’autenticazione
Mongoose supporta l'analisi di applicazioni Web dotate di sezioni autenticate supportando tre
differenti schemi:
Basic AuthenticationDigestWeb Form
Il tuo eShop, il tuo CRM, la tua Webmail, il tuo ERP, il portale aziendale della tua azienda saranno
felici di saperlo.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Reporting
Mongoose offre un servizio di reporting completo a supporto di ogni analisi di
sicurezza effettuata su siti ed applicazioni web implementando, altresì, una
funzionalità di salvataggio della reportistica nei seguenti formati:
PDFDOCX
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
WEB APPLICATION SECURITY REPORT
La sicurezza della nostra piattaforma
Mongoose è stato progettato e sviluppato adottando pattern architetturali e tecniche di
programmazione sicura ed opera su piattaforma Windows Azure, attraverso una rete di data center
globali, progettati per l'esecuzione 24 ore su 24, 7 giorni su 7.
Questi data center sono conformi agli standard del settore relativi a protezione fisica e affidabilità e
vengono gestiti, monitorati e amministrati da operatori Microsoft.
La piattaforma che ospita Mongoose è dotata di molteplici misure di sicurezza di naturasia logica
che fisica. Router di filtraggio, firewall, protezioni crittografiche dei messaggi, segmentazioni di rete,
gestione delle patch del software e monitoring sono solo alcuni dei livelli di protezione implementati
per fornire una difesa in profondità.
La stessa piattaforma è peraltro protetta da eventuali interruzioni di alimentazione, intrusioni fisiche
e interruzioni della rete.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Il nostro Manifesto
Un software utilizzabile tramite Internet che consenta, sempre e da qualunque parte del mondo, di rilevare problematiche di
sicurezza su siti ed applicazioni Web.
Ecco cos’è Mongoose.
La protezione da adottare per tutelare siti web istituzionali, portali bancari, portali di servizio, portali di acquisto, applicazioni
aziendali. Solo per citarne alcuni.
La possibilità per aziende e privati di tutto il mondo di essere tempestivamente informati sui potenziali rischi e danni a cui
potrebbero essere esposti.
Ecco perché utilizzare Mongoose.
Mongoose è il contributo di EUERY al progresso tecnologico, economico e sociale.
Ecco perché abbiamo realizzato Mongoose.
Per la sicurezza delle tue applicazioni web.© 2013 EUERY. Tutti i diritti riservati.
© 2013 EUERY. Tutti i diritti riservati. Per la sicurezza delle tue applicazioni web.
Mongoose è la soluzione ad un problema comune.
Una tecnologia innovativa per tutti.