Pentest di rete esterno
Valutazione del perimetro Internet ai sensi di PTES + NIST SP 800-115: enumerazione, analisi delle vulnerabilità, exploitation manuale dei servizi esposti, catene di attacco sulle credenziali e lo scenario di violazione che il vostro CISO deve vedere scritto.
Pentest applicazione web
Copertura OWASP ASVS L1/L2/L3: autenticazione, sessione, controllo degli accessi (incluso BOLA/IDOR), validazione degli input, abuso della logica di business, gestione file, superficie API e i dieci capitoli OWASP Top 10 2021 con exploitation attiva.
Pentest mobile (iOS + Android)
Copertura OWASP MASVS con test case MASTG: interazione con la piattaforma, archiviazione dati, crittografia, rete, autenticazione, qualità del codice, resilienza (rilevamento root/jailbreak, anti-debug) e l'analisi statica + dinamica IPA/APK che fanno anche i revisori degli store.
Pentest API
OWASP API Security Top 10 2023: BOLA (API1), Broken Authentication (API2), BOPLA (API3), Consumo Illimitato di Risorse (API4), BFLA (API5), SSRF (API7), Security Misconfiguration (API8), Improper Inventory Management (API9). REST, GraphQL e gRPC.
Audit di configurazione cloud
AWS/GCP/Azure rispetto ai CIS Benchmark e al pilastro di sicurezza del provider Well-Architected Framework: IAM, cifratura, logging, esposizione di rete, gestione dei segreti, configurazione container/serverless e revisione dei confini cross-account/cross-tenant.
Report e retest
Executive summary, metodologia con fasi PTES e capitoli ASVS/MASVS/API Top 10 citati, risultati con vettori CVSS v4.0 e PoC, narrativa dell'attacco, tracker di remediation importabile in JIRA e un retest gratuito entro 90 giorni con lettera pulita ri-emessa.