Cosa è OWASP Top 10?

Le 10 categorie di vulnerabilità più critiche per applicazioni web (injection, broken auth, XSS, ecc.). Standard di riferimento.

Black-box vs White-box?

Black-box: testo come un attaccante esterno. White-box: con accesso al codice. Gray-box è una via di mezzo.

I test fanno danni al sito?

No. Lavoro su ambiente di staging quando possibile, e in produzione con test non distruttivi.

Cosa succede se trovi qualcosa di critico?

Ti contatto immediatamente con dettagli e suggerimento di remediation. Non aspetto la fine del progetto.

Conformità GDPR/ISO 27001?

L'audit è un input importante per quei processi. Posso fornire documentazione su misura.

Audit di sicurezza web

Vulnerability assessment e penetration testing. Conforme OWASP Top 10. Report con remediation.

Tempo di realizzazione1-7 giorni

Scrivimi su WhatsApp

Per chi è questo servizio

Hai un sito o web app che gestisce dati sensibili.

Hai subito un attacco e vuoi mitigare i rischi futuri.

Devi ottenere certificazioni o conformità.

Vuoi dormire tranquillo sapendo che il tuo sistema è solido.

Cosa ti consegno

Information gathering completo (recon, fingerprinting)

Vulnerability assessment automatizzato + manuale

Test su tutta la OWASP Top 10 (2021)

Report dettagliato con criticità prioritizzate

Proof of Concept per ogni vulnerabilità trovata

Suggerimenti di remediation concreti, applicabili

Re-test gratuito dopo le correzioni

Cos'è un audit di sicurezza serio

Non un tool automatico che ti spara 200 false positive. Un audit serio è:

Targeted — focalizzato sui rischi reali del tuo specifico sistema.
Manuale dove serve — i tool catchano il 30%, il resto è esperienza umana.
Prioritizzato per business impact — non tutto è P1, alcune cose sono cosmetic.
Actionable — il report ti dice esattamente come fixare ogni cosa.

OWASP Top 10 (2021) — cosa testo

A01: Broken Access Control
A02: Cryptographic Failures
A03: Injection (SQL, NoSQL, OS, LDAP)
A04: Insecure Design
A05: Security Misconfiguration
A06: Vulnerable and Outdated Components
A07: Identification and Authentication Failures
A08: Software and Data Integrity Failures
A09: Security Logging and Monitoring Failures
A10: Server-Side Request Forgery (SSRF)

Più test specifici al tuo dominio (e-commerce → payment flows, web app → privilege escalation, ecc.).

Il processo

Scoping

Definizione perimetro: black-box, gray-box, white-box.

Information gathering

Recon, fingerprinting, mapping superficie d'attacco.

Testing

Vulnerability scanning + manual testing su OWASP Top 10.

Reporting

Report dettagliato con CVSS, PoC, remediation.

Re-test

Verifica post-fix delle vulnerabilità chiuse.

Domande frequenti

Da 1 a 7 giorni in base alla complessità del sistema. Per audit estesi su infrastrutture grandi posso definire milestone separate.

Scritto da Michele Gramegna · Founder Marvetic

Ultimo aggiornamento: 4 maggio 2026

Costruiamo qualcosa di serio.

Risposta entro 24 ore. Senza formalità.

Iniziamo