Mobox.®
Mobox/Servizi/Cybersecurity/Penetration Test

02 / PEN-TEST

Cybersecurity

Penetration TestCybersecurityAttacchiamo i tuoi sistemi prima che lo facciano gli altri.

Attacchiamo i tuoi sistemi prima che lo facciano gli altri.

Simuliamo attacchi reali su applicazioni web, API, mobile, infrastrutture cloud e on-premise. Ogni test produce vulnerabilità prioritizzate per business risk e remediation guidata.

OSCP

Tutti i tester certificati

100%

PoC riproducibili

+ retest

Sempre incluso

§ A

Overview

Un penetration test ben fatto non è una scansione automatica con un PDF allegato. È un esercizio di intelligenza offensiva condotto da specialisti certificati (OSCP, OSWE, CRTO) che combinano tooling, ricerca manuale e exploitation creativa per scoprire ciò che gli scanner non trovano.

Operiamo secondo metodologie OWASP, PTES, NIST SP 800-115 e produciamo report fruibili sia dal CISO che dagli sviluppatori, con PoC riproducibili e indicazioni di fix verificate.

§ B

Cosa includiamo

  • Web application & API testing (OWASP Top 10, BOLA, SSRF, deserialization)
  • Mobile app testing (iOS, Android) con reverse engineering
  • Cloud security review (AWS, Azure, GCP) e Kubernetes
  • Active Directory e infrastruttura interna
  • Wireless e fisico su richiesta
  • Social engineering e phishing simulati
  • Retest di verifica delle remediation

§ C

Deliverable

Cosa ricevi alla fine — o lungo il percorso — di un nostro engagement su Penetration Test.

  1. D/01Report executive per il management
  2. D/02Report tecnico con PoC e CVSS
  3. D/03Tracker vulnerabilità con priorità di fix
  4. D/04Sessione di debrief con sviluppatori
  5. D/05Attestato di esecuzione conforme a standard

§ D

Casi d'uso

Pre-rilascio applicazione

Validazione di sicurezza prima del go-live di una nuova applicazione customer-facing.

Annuale ricorrente

Test periodici richiesti da framework di compliance (PCI-DSS, ISO 27001, NIS2).

M&A due diligence

Valutazione del rischio cyber su asset di una società target.

Post-incident

Verifica della superficie d'attacco dopo un evento di sicurezza.

§ E

Il nostro processo

01

Scoping

Definizione di obiettivi, perimetro, regole di ingaggio, finestre temporali.
02

Recon

Information gathering passivo e attivo, OSINT, mappatura della superficie.
03

Exploitation

Identificazione e sfruttamento delle vulnerabilità, lateral movement.
04

Reporting

Documentazione strutturata con prove, impatto e raccomandazioni.
05

Retest

Verifica delle correzioni implementate.

§ F

Tecnologie

Burp Suite ProNuclei · Nmap · AmassMetasploit · Cobalt StrikeBloodHound · ImpacketFrida · MobSFPacu · ScoutSuite

Stack indicativo. Adattiamo le scelte al tuo contesto, alle competenze interne e ai vincoli esistenti.

§ G

Domande frequenti

Q/01Quanto dura un pen-test?+

Un'app web di media complessità richiede 5-10 giorni; un'infrastruttura interna 10-20 giorni. Lo scoping iniziale è gratuito.

Q/02I test impattano la produzione?+

Concordiamo finestre e tecniche per minimizzare l'impatto. Per sistemi critici lavoriamo in ambiente di stage equivalente.

Q/03Cosa ricevo a fine test?+

Report tecnico ed executive, PoC riproducibili, prioritizzazione delle fix e una sessione di debrief.

Altre capability — Cybersecurity

SOC 24/7

Occhi sui tuoi log, sempre. Risposta in minuti, non ore.

Compliance NIS2

Dalla gap analysis all'attestazione: un percorso pragmatico.

Incident Response

Quando succede, ti rimettiamo in piedi in fretta.

Prossimo passo

Parliamo di penetration test.

Una call di 30 minuti per capire il tuo contesto e capire se possiamo davvero aiutarti. Senza impegno.

Iniziamo Tutti i servizi