// servizio · pentest web

Pentest Web Express

Test di sicurezza completo su sito ed e-commerce con metodologia OWASP. Simulo attacchi realistici per trovare vulnerabilità sfruttabili — prima che lo facciano gli altri.

Cosa è incluso

  • Analisi manuale di 1 dominio web (fino a ~50 pagine dinamiche)
  • Test su tutte le 10 categorie OWASP Top 10
  • Test di autenticazione, session management, autorizzazione
  • Test di iniezione (SQLi, XSS, command injection, ecc.)
  • Test su business logic specifica della tua applicazione
  • Configurazioni server, security headers, TLS
  • Report tecnico (10-30 pagine) + executive summary
  • Rules of Engagement firmate prima del test
  • Riunione di chiusura di 1 ora (debrief + Q&A)
  • Piano di remediation prioritizzato per gravità

Metodologia

Seguo la metodologia PTES (Penetration Testing Execution Standard) e OWASP Testing Guide v4. Il test è organizzato in 6 fasi:

01
Pre-engagement
Definizione scope, firma RoE, accesso ambiente di test, blackout windows.
02
Information Gathering
Footprinting, mapping dell'applicazione, identificazione tecnologie e versioni.
03
Vulnerability Assessment
Scan automatizzato (Burp Suite, Nuclei) + analisi manuale per ridurre falsi positivi.
04
Exploitation
Verifica delle vulnerabilità con PoC etici. Nessuna persistenza, nessun danno reale.
05
Reporting
Report tecnico con CVSS, screenshot, repro steps. Executive summary per il management.
06
Debrief
Riunione di chiusura di 1 ora per discutere findings, priorità e supporto remediation.

Quando ti serve

  • Gestisci dati di clienti (B2C o B2B) e vuoi essere sicuro di proteggerli
  • Sei e-commerce e processi pagamenti
  • Stai per lanciare un nuovo sito o una nuova versione
  • Hai requisiti di compliance (GDPR, PCI-DSS, NIS2)
  • Hai subito un incidente e vuoi un audit indipendente
  • Il tuo cliente / fornitore ti ha chiesto un certificato di pentest

FAQ

È davvero "express"? Quanto tempo richiede?
5 giorni lavorativi dalla firma RoE. Test attivo: 2-3 giorni. Reporting + revisione: 2 giorni. Riunione di chiusura: il 5° giorno.
Cosa NON è incluso a 499€?
Non sono inclusi: test sull'infrastruttura interna (network, AD), test di social engineering attivo, test su API mobile, re-test post-correzioni (a richiesta €150). Per applicazioni grandi (>50 pagine) il prezzo sale a €800-2.000.
Servono accessi al sito?
Per il test base no (black-box). Se vuoi che testi anche le aree autenticate (consigliato), mi servono 2 utenti di test con ruoli diversi. Mai accessi reali di clienti veri.
Il test rallenta o blocca il mio sito?
No. Concordiamo blackout windows (orari notturni o festivi) e limito il rate dei test automatici. In 4+ anni di attività, mai causato downtime a clienti.
Cosa succede se trovi vulnerabilità critiche?
Ti contatto immediatamente (entro 1h dal ritrovamento) anche prima del report finale, così puoi mettere in sicurezza subito. Si chiama "responsible disclosure" e per me è la prassi.