Penetration Test Web OWASP per siti ed e-commerce

Cos'è un Penetration Test Web

È l'attività professionale con cui un consulente autorizzato prova a "entrare" nel tuo sito web usando le stesse tecniche di un attaccante reale. A differenza di un semplice vulnerability scan automatizzato, il pentest include analisi manuale approfondita: si indagano vulnerabilità logiche, errori di configurazione, manipolazione sessioni, escalation di privilegi. È il livello di test richiesto da assicurazioni cyber, audit di clienti enterprise, certificazioni ISO 27001.

Quando ti serve

• Hai un e-commerce che gestisce pagamenti o dati personali. Obbligo PCI DSS se integri sistemi di pagamento.
• Hai un portale clienti/dipendenti con autenticazione e dati sensibili.
• Stai per fare un lancio importante (nuovo sito, nuova feature) e vuoi dormire tranquillo.
• Un cliente enterprise o la tua assicurazione ti ha chiesto un pentest documentato.
• Hai subito un incidente e vuoi capire cosa è successo e come rimediare.
• Vuoi rispettare il GDPR (art. 32): i pentest sono una misura tecnica raccomandata.

Cosa include il pentest di FiliuTech

Ogni pentest segue la metodologia OWASP Testing Guide v4, standard internazionale. In concreto, testo queste categorie:

• Broken Access Control: chi può vedere cosa, escalation privilegi, bypass autorizzazioni
• Injection: SQL injection, XSS, command injection, template injection
• Authentication flaws: brute-force, session fixation, credenziali deboli
• Security misconfigurations: header HTTP, CORS, configurazioni server
• Sensitive data exposure: cifratura trasmissione, cifratura at-rest, log che rivelano dati
• Vulnerable components: librerie con CVE note, dipendenze obsolete
• Logic flaws: quelle che gli scanner automatici non vedono
• SSRF, XXE, Open redirect: e altre categorie OWASP

Il processo in 5 giorni lavorativi

Giorno 0 — Rules of Engagement (ROE)

Prima di toccare qualsiasi cosa, firmiamo un documento che autorizza esplicitamente i test: quali URL sono in scope, quali tecniche permesse, finestre temporali, contatti di emergenza. È un passaggio legale obbligatorio (art. 615 ter codice penale).

Giorno 1-2 — Ricognizione e mappatura

Mappo l'applicazione, scopro tutte le pagine e funzionalità, identifico i punti di input utente, analizzo il framework utilizzato e le librerie.

Giorno 3-4 — Test attivo

Esecuzione dei test OWASP. Uso strumenti professionali (Burp Suite Professional, OWASP ZAP, nuclei) combinati con test manuali. Ogni vulnerabilità trovata è verificata manualmente e documentata con screenshot.

Giorno 5 — Report e chiusura

Consegno due documenti: un report tecnico con dettagli per il team sviluppo (vulnerabilità, payload usati, raccomandazioni tecniche) e un executive summary di 2-3 pagine per il management (criticità, priorità, impatto business). Riunione di chiusura inclusa (1 ora).

Cosa ricevi concretamente

• Report PDF tecnico (tipicamente 20-40 pagine)
• Executive summary (2-3 pagine, linguaggio business)
• Piano di remediation con priorità e costi stimati
• Prove screenshot di ogni vulnerabilità
• Riunione di chiusura da 1 ora
• 30 giorni di supporto email post-consegna per chiarimenti

Prezzi

Il Pentest Web Express parte da 499 € (IVA esclusa) ed è pensato per siti di piccole/medie dimensioni (fino a ~50 pagine dinamiche). Copre le categorie OWASP Top 10 principali con test manuali mirati.

Per applicazioni più complesse (SaaS, portali con logica articolata, e-commerce con integrazioni multiple) il prezzo sale indicativamente a 800-2.000 € in base alla superficie di attacco. Preparo un preventivo gratuito in 3 giorni lavorativi dopo una chiamata di scoperta.

FAQ veloci

Il pentest rallenta o blocca il sito? I test sono non-invasivi e concordo sempre fasce orarie. In casi estremi (test su produzione con traffico alto) consiglio di lavorare su ambiente di staging identico.

Cosa succede se trovi una vulnerabilità grave? Te la comunico subito via canale sicuro (non email) con raccomandazioni per il contenimento. Non pubblico mai nulla senza il tuo consenso scritto.

Offri il re-test dopo le correzioni? Sì, su richiesta. Il re-test ha costo ridotto (50% del pentest originale) e verifica che le falle trovate siano state chiuse correttamente.