Penetration test professionale: simulazione di attacchi reali per identificare le vulnerabilità sfruttabili. Black-box (zero informazioni), gray-box (utente standard loggato), white-box (codice sorgente più admin più database). Report con CVE, prova di concetto e remediation prioritizzata.
Il penetration test (pentest) è la simulazione attiva di un attacco reale al sito, condotta in modo controllato e autorizzato, per identificare le vulnerabilità sfruttabili e dimostrarne lo sfruttamento concreto con prova di concetto. Si esegue in tre livelli (black-box, gray-box, white-box) e produce un report con severity, prova di concetto e remediation.
L'audit di sicurezza identifica cosa potrebbe essere vulnerabile (confronto della configurazione con le best practice). Il pentest dimostra cosa è vulnerabile davvero: l'attaccante prova a entrare e prova a sfruttare. Il pentest scopre vulnerabilità che l'audit non vede: zero-day, business logic flaws, exploit chained, misconfiguration sfruttabili.
Da Vicenza dal 2008 abbiamo completato oltre 30 penetration test con un totale di oltre 150 vulnerabilità rilevate, di cui circa il 30% critiche (RCE, iniezioni SQL, escalation di privilegi). Report sempre con prova di concetto reproducible, remediation prioritizzata, re-test post-fix incluso.
Pentest gray-box da customer loggato. Identificate 6 vulnerabilità (1 critica IDOR sugli ordini, 2 alte, 3 medie). Fix completo in 4 settimane, re-test passato, materiale audit-ready per certificazione PCI.
Pentest white-box su WordPress più plugin custom. Audit del codice sorgente che ha identificato un'iniezione SQL in una funzione di ricerca custom. Fix immediato e hardening, prova di concetto documentato e remediation completa.
Pentest black-box post-incident come validazione dell'hardening applicato. Nessuna vulnerabilità sfruttabile rilevata post-fix. Documentazione di compliance per breach response GDPR superata.
La scelta del livello dipende dal business e dal budget. L'output è sempre un report dettagliato con prova di concetto.
Attaccante reale, zero informazioni.
Pentest condotto da utente esterno senza alcuna informazione preliminare. Reconnaissance attiva e passiva, port scanning, scoperta delle vulnerabilità, tentativi di sfruttamento, valutazione del lateral movement. Simula un attaccante reale che parte da zero.
Utente standard loggato.
Pentest condotto con un account utente standard (cliente e-commerce, member area, employee portal). Si testano scenari di business logic, escalation di privilegi, accesso ai dati di altri utenti, IDOR (Insecure Direct Object Reference), session management.
Codice, admin, database.
Pentest con accesso completo: codice sorgente, admin WordPress, database, server. Code review per vulnerabilità (XSS, iniezioni SQL, RCE, file upload, deserialization), revisione della configurazione, audit del codice custom, revisione degli endpoint API.
Annuale o trimestrale.
Pacchetto continuativo con pentest ricorrente (annuale o trimestrale) per business critici. Rilevamento di nuove vulnerabilità, validazione dei fix precedenti, regression test, materiale audit-ready per conformità (PCI DSS, ISO 27001).
Su oltre 30 pentest completati, le vulnerabilità più ricorrenti:
Il pentest scopre tipicamente 3-8 vulnerabilità critiche per progetto medio. L'audit non le coglierebbe: solo l'attacco attivo e simulato le trova.
Output concreto del pentest:
Settimana 1.
Settimane 2-3.
Settimana 4.
Post-fix.
Strumenti offensivi industry-standard:
WordPress 
GitHub 
WooCommerce 
Cloudflare WordPress GitHub WooCommerce Cloudflare Standard sui progetti completati:
Servizio su misura: il preventivo dipende dalla complessità dei requisiti, dalle integrazioni con sistemi terzi (CRM, gestionale, API esterne), dal volume di test richiesto e dal livello di SLA in manutenzione. Prima cosa che facciamo è una discovery call gratuita di 30-45 minuti per capire scope e contesto, poi mandiamo un preventivo scritto entro 48-72 ore. Niente listini standard.
Black-box piccolo 1-2 settimane. Gray-box completo 2-3 settimane. White-box su codice sorgente 3-4 settimane. Il report aggiunge una settimana, il re-test post-fix aggiunge un'altra settimana.
Sì, se autorizzato dal cliente con contratto e Rules of Engagement firmate. Senza autorizzazione esplicita scritta è reato di accesso abusivo. Lavoriamo solo con NDA più autorizzazione esplicita firmata. Codice etico chiaro e rispettato.
L'audit confronta la configurazione con le best practice (sondaggio passivo). Il pentest tenta attivamente di entrare (attacco simulato). Il pentest scopre vulnerabilità che l'audit non vede. Costa di più ma trova problemi diversi.
Un pentest controllato non rompe il sito. Concordiamo finestra di manutenzione, esclusioni (niente DELETE, niente DDoS reali), rollback pronto. Tipicamente lavoriamo su staging per pentest invasivi, in produzione solo per scope limitati.
Sì sempre, un round di re-test dopo i fix è incluso nel costo. Il cliente implementa i fix, noi validiamo che funzionino. Report finale con stato di closure, materiale audit-ready per conformità.
Sì, il pentest soddisfa il requisito di penetration testing annuale di PCI DSS e di ISO 27001. Report formattato per audit di conformità. Possibile coordinamento con l'auditor del cliente.
Per business critici (banche, e-commerce con volume mensile rilevante, healthcare) sì: pentest annuale più scanning automatico mensile più review manuale trimestrale. Pronto per certificazione e monitoraggio continuo.
Esperienza concreta in modalità black-box, gray-box e white-box su WordPress, WooCommerce, plugin custom e REST API. Pattern di vulnerabilità ricorrenti consolidati su PMI italiane.
Niente report generico. Ogni vulnerabilità ha prova di concetto reproducible, severity rating e remediation prioritizzata. Pronto per audit di conformità.
Lavoriamo solo con autorizzazione scritta più NDA. Codice etico chiaro: niente data exfiltration, niente distruzione, niente public disclosure. Fiducia totale del cliente.
Il cliente implementa i fix, noi validiamo che funzionino. Un round di re-test è incluso nel costo. Report finale con stato di closure, materiale audit-ready per conformità.
Analisi preliminare gratuita + report sintetico via email entro 48h.
