Ambito blackbox
Il WAPT avviene senza una conoscenza della logica funzionale dell’applicazione e del suo codice sorgente, attaccando gli entry points e i cookies tramite l’inserimento di pattern d’attacco. Secondo esperienza e competenze del tester, si comprenderà la logica applicativa e i controlli eseguiti dalle applicazioni sull’input tramite l’analisi dell’output, riscontrando possibili anomalie nel comportamento o nell’aspetto dell’applicazione.
Requisiti
Assegnare a molte persone lo stesso compito di verifica significa avere diversi approcci creativi nella fase di ricerca delle vulnerabilità.
Pro
- Il tester non deve essere necessariamente un programmatore, pur dovendo mantenere un background tecnico relativamente alle tecnologie connesse alle applicazioni da testare.
- Permette il testing anche a personale non interno al progetto che per motivi di segretezza non deve avere la possibilità di accedere al codice sorgente; risulta quindi possibile assegnare ad aziende estranee alle fasi di sviluppo l’esecuzione dei WAPT.
Contro
- Può rilevarsi molto complesso e dispendioso in termini di tempo.
- Non permette una verifica esaustiva degli algoritmi di crittografia proprietari (si dovrebbe considerare per assioma che gli algoritmi di crittografia proprietari siano vulnerabili).
- Garantisce una sicurezza inferiore rispetto all’analisi whitebox.
Note sull’autore: Saverio Rizza lavora nel settore IT di un noto service provider occupandosi dell’analisi statica del codice di applicazioni enterprise. È docente di linguaggi web oriented. Ha svolto attività spaziando dai vulnerability assessment and mitigation alla scrittura di pattern di sviluppo sicuro.