Comprendiamo l’importanza della sicurezza digitale.

In un panorama digitale in continua evoluzione, dove ogni innovazione porta con sé nuove vulnerabilità, Gerico Lab si pone al tuo fianco come partner strategico per garantire la sicurezza della tua azienda. La nostra missione è individuare, analizzare e neutralizzare le minacce prima che diventino un problema, assicurandoti una protezione solida e duratura.

Come ti aiutiamo

Lavoriamo per proteggere le informazioni e mantenere al sicuro il business: le nostre attività di  Penetration Test sono su misura e  progettate per  affrontare insieme le sfide che che il mondo digitale prospetta, in particolare:

In relazione alle attività di web application penetration test, Gerico Lab basa i suoi test sulla OWASP Testing Guide v4.
Il servizio di Web Application Penetration Test ha lo scopo di sfruttare le vulnerabilità delle applicazioni web.
Nella fase attiva i tester eseguono una serie di test raggruppabili nelle seguenti categorie:

  • Information Gathering
  • Configuration and Deployment Management Testing
  • Identity Management Testing
  • Authentication Testing
  • Authorization Testing
  • Session Management Testing
  • Input Validation Testing
  • Error Handling
  • Cryptography
  • Business Logic Testing
  • Client Side Testing

L’attività di Network Penetration Test ha l’obiettivo di simulare le operazioni eseguite da un attaccante (hacker) che miri a compromettere e a prendere il controllo parziale o totale dei target in perimetro. 
L’attività sarà condotta sia attraverso l’uso di strumenti leader di mercato che attraverso l’uso di strumenti e software open-source oltre ad eventuali software e script sviluppati da Gerico Lab. 

Nell’esecuzione del test verranno seguite le linee guida e le best-practice suggerite dagli standard di settore ed in particolare dal Penetration Test Execution Standard (PTES)

L’analisi è condotta in conformità con OWASP MASVS (L1-L2) e Mobile Application Security Testing Guide, mediante reverse engineering del codice, ispezione delle dipendenze e verifica delle configurazioni di sicurezza. Parallelamente è effettuata un’analisi dinamica on-device, che utilizza strumentazione runtime per osservare il comportamento dell’app in ambiente root/jailbreak, rilevare bypass di jail detection e individuare vulnerabilità logiche, come suggerito dall’OSSTMM/OWASP MASTG. Viene inoltre valutata la gestione dello storage sicuro—Keychain, Keystore, database locali—e la corretta applicazione delle primitive crittografiche in linea con ISO/IEC 27034-1.

Il traffico di rete viene sottoposto a test di transport-layer security, includendo handshake, resilienza al downgrade, certificate pinning e scenari MITM, mentre gli endpoint server-side sono esaminati secondo OWASP API Security Top 10 2023 per injection, IDOR, rate limiting e controllo degli accessi. Sono verificate funzionalità tipiche del mobile quali deep-link, URL-scheme, intent permission e push notification, con focus su hijacking e privilege escalation.

Il servizio di API Penetration Test ha lo scopo di individuare e sfruttare le vulnerabilità delle API che ad oggi occupano uno spazio importante nello scenario dello sviluppo web e che per natura espongono logiche applicative e dati sensibili, rappresentando quindi un rischio sia per l’azienda che per terzi.

L’attività è svolta secondo quanto previsto dalle linee guida OWASP (Open Web Application Security Project) dove si provvederà a verificare la corretta gestione delle sessioni, dell’autenticazione, dell’autorizzazione, degli input, degli errori, dei flussi, ecc.

Il test è volto ad evidenziare se le API soffrono, a titolo di esempio, delle seguenti famiglie di rischio:

  • Brocken Object Level Authorization
  • Broken Authentication
  • Unresctricted Resource Consumption
  • Unrestricted Access to Sensitive Business Flow
  • Unsafe Consumption of APIs

Il primo passo consiste nell’osservare in dettaglio la topologia delle reti industriali, dai livelli di campo sino alla supervisione. Il team di PT ricostruisce i percorsi che un attaccante potrebbe sfruttare per muoversi lateralmente, verificando se la segmentazione logica e fisica isola davvero le aree a maggiore criticità—ad esempio linee di produzione, server SCADA o database storici. L’analisi evidenzia eventuali punti di interconnessione non protetti, VLAN non correttamente configurate o gateway che permettono il pivoting fra rete IT e rete OT. Si passa poi a un esame approfondito dei protocolli industriali in uso (Modbus, PROFINET, DNP3, OPC UA, ecc.).

L’esame delle piattaforme OT si spinge oltre i sistemi di controllo, includendo le engineering workstation, i server di distribuzione firmware e i data historian. I tester ricercano vulnerabilità note su ogni nodo, tentano di scalare privilegi e sperimentano la possibilità di iniettare comandi che modifichino parametri di produzione.

Servizi

I nostri servizi

{"cpt":"service","style":"2","columns":"3","show":"6","order":"DESC","orderby":"none"}

ULTIMO AGGIORNAMENTO SITO Maggio 2025

Copyright © 2025 GERICO LAB, All Rights Reserved.