L'azienda X si prepara a lanciarsi sul web e assume alcuni sviluppatori per mettere online un sito internet che, tra le altre cose, consenta al cliente di inviare informazioni attraverso un semplice modulo da compilare online. Per ragioni di sicurezza tutti i dati vengono memorizzati in un database accessibile - attraverso un pannello di autenticazione - solo ad una persona fidata addetta a quel tipo di lavoro.
Se l'azienda vi chiede di testare da remoto la robustezza del sito per valutare il rischio di intrusione e fuga delle informazioni, ammesso che l'esito della vostra analisi risulti negativo, il vostro report di sicurezza potrà ritenersi attendibile?
Per niente! Questo tipo di analisi interessa solo certi aspetti della sicurezza, le informazioni che abbiamo a disposizione non ci bastano, per rilasciare un report attendibile abbiamo bisogno di conoscere ogni singolo dettaglio del progetto e di avere accesso a tutte le aree, comprese quelle riservate.
I tool per l'auditing non sono così intelligenti da individuare falle nelle zone in cui non è consentito l'accesso, va da sè che molte vulnerabilità sfuggono ai controlli di sicurezza effettuati per mezzo di strumenti automatici e che le indagini da remoto, senza la possibilità di poter accedere alle aree riservate, non sono sufficienti.
Ad esempio, nel caso dell'azienda X, potreste scoprire che i dati mostrati alla persona di fiducia che ha il privilegio di accedere alle aree sensibili non vengono filtrati una volta prelevati dal database (anche se andrebbero filtrati prima ancora di scriverli nel db) e che la statistica degli accessi viene gestita attraverso uno script "fatto in casa" che assegna l'indirizzo richiesto ad una variabile stringa senza verificarne il contenuto.
In entrambi i casi le informazioni vengono prelevate dal database e scritte in una pagina in formato html accessibile solo a chi si autentica con i privilegi necessari. Nel primo caso uno script maligno potrebbe essere iniettato attraverso uno dei campi presenti nel modulo online messo a disposizione per i clienti, mentre nel secondo caso basterebbe accodare lo script all'url di una pagina del sito e attendere che l'amministratore (o chi per lui) acceda all'area riservata.
