Informacja o usłudze

Aplikacje webowe, ze względu na swoją dostępność i otwartość dla użytkowników Internetu stanowią obecnie najczęstsze źródło ataków przeprowadzanych z zewnątrz organizacji. Obecnie w Internecie znaleźć można coraz więcej serwisów dynamicznych, korzystających ze skryptów oraz wewnętrznych baz danych. Nierzadko portale te dostępne dla użytkowników z Internetu posiadają dostęp do wewnętrznych zasobów plikowych, wewnętrznej autoryzacji, systemów pocztowych, a często korzystają również z baz danych współdzielonych z innymi wewnętrznymi systemami organizacji.

Autorzy serwisów Internetowych coraz częściej również dostarczają użytkownikom specjalne przygotowane aplikacje klienckie, które w komunikacji z serwisem webowym pozwalają użytkownikom dokonywać wiele, wcześniej niemożliwych do wykonania operacji, np. kopie zapasowe ważnych plików.

Wykonanie testów penetracyjnych aplikacji webowej jest zalecane w szczególności, gdy strony internetowe korzystają z danych, do których dostęp powinien być ograniczony. Same prace realizowane są w ten sam sposób, co prace realizowane podczas testów penetracyjnych , skupiają się jednak na penetracji wyłącznie tej usługi. Prace mogą zostać wykonane zarówno metodą Black-Box jak i White-Box, rozszerzając je w ten sposób o analizę podatności od wnętrza badanego systemu.

Największe zagrożenia i ataki, na jakie narażone są aplikacje, regularnie są publikowane na stronach Internetowych niektórych organizacji. Do najpopularniejszych należy organizacja OWASP i lista TOP 10 (ostatnia publikacja z roku 2013), która wskazuje najczęstsze luki, według kolejności ich występowania:

  • A1 SQL Injection(wstrzykiwanie)

  • A2 Broken Authentication and Session Management(łamanie mechanizmów uwierzytelniających)

  • A3 Cross-Site Scripting (ataki typu XSS)

  • A4 Insecure Direct Object References(nieodpowiednio zabezpieczone bezpośrednie odwołania do obiektów)

  • A5 Security Misconfiguration(niepoprawna konfiguracja)

  • A6 Sensitive Data Exposure(nieodpowiednie zabezpieczenie poufnych danych)

  • A7 Missing Function Level Access Control( nieodpowiednia kontrola uprawnień użytkowników)

  • A8 Cross-Site Request Forgery (ataki typu CSRF)

  • A9 Using Known Vulnerable Components( używanie znanych podatności)

  • A10 Unvalidated Redirects and Forwards( nieodpowiednia walidacja przekierowań )

Podobną listę, składającą się z 25 najbardziej popularnych błędów aplikacyjnych publikuje na łamach swojej strony Internetowej organizacja SANS/CWE.Organizacja OWASP opublikowała również standard postępowania ASVS (ostatnia edycja z 2009 roku), w której przyporządkowuje bardzo szeroki zakres prac jakie można przeprowadzić podczas testów do zdefiniowanych poziomów. W zależności od potrzeb klienta oraz od złożoności testowanego serwisu prace mogą zostać zrealizowane według poziomów:

  • Poziom 1 – Weryfikacja automatyczna (za pomocą narzędzi)

  • Poziom 1A – Skanowanie dynamiczne (częściowa weryfikacja automatyczna)

  • Poziom 1B – Skanowanie kodu źródłowego (częściowa weryfikacja automatyczna)

  • Poziom 2 – Weryfikacja ręczna (wykonywana przez specjalistów z doświadczeniem)

  • Poziom 2A – Test bezpieczeństwa (częściowa weryfikacja ręczna)

  • Poziom 2B – Przegląd kodu (częściowa weryfikacja ręczna)

  • Poziom 3 – Weryfikacja projektu (zalecany do systemów wymiany biznesowych danych, zawiera szczegółową analiza kodu, analizę komponentów firm trzecich)

  • Poziom 4 – Weryfikacja wewnętrzna (zalecana dla aplikacji, od których zależy życie, zawiera pełną, ręczną weryfikację kodu)

PBSG tworzą doświadczeni konsultanci, którzy podczas przeprowadzania testów aplikacji webowych korzystają z własnego doświadczenia, rozbudowanych narzędzi, skryptów własnych oraz wskazanych wyżej metodyk. Zachęcamy więc wszystkich Państwa do przeprowadzania regularnie testów penetracyjnych środowiska IT.

Podobnie jak w wyniku testów penetracyjnych, klient otrzymuje raport, w którym zamieszczone są informacje czytelne dla kierownictwa oraz administratorów infrastruktury. W Raporcie opisane są wszystkie znalezione podczas prac podatności wraz ze wskazanymi rekomendacjami.

Zakres usługi

  • przeprowadzanie testów penetracyjnych portalu internetowego

  • analiza podatności zastosowanych na stronie formularzy

  • penetracja słabości, próba ich wykorzystania

  • przeprowadzenie ataków mających na celu uzyskanie uprawnień administracyjnych

  • ataki mające na celu próbę podmiany treści strony

  • przedstawienie raportu z wykonanych prac

  • przedstawienie rekomendacji eliminujące znalezione zagrożenia

Skuteczne i efektywne zarządzanie systemami informatycznymi jest nierozłącznie powiązane z zapewnieniem ich bezpieczeństwa. Coraz częściej analizy podatności czy testy penetracyjne są standardowym elementem odbioru rozbudowanych systemów aplikacyjnych. Zewnętrzny audyt bezpieczeństwa IT jest także niezastąpiony dla organizacji zarządzających aplikacjami webowymi czy mobilnymi. Warto jednak pamiętać, że bezpieczeństwo IT to nie tylko testy penetracyjne – równie ważnym elementem może być ocena wydajności środowiska czy analiza kodu źródłowego.

Przeprowadzając prace związane z testami bezpieczeństwa, korzystamy z doświadczeń zdobytych podczas realizacji wielu prac dla naszych klientów. W szczególności prace związane z analizą bezpieczeństwa infrastruktury oraz analizy bezpieczeństwa systemu opieramy na metodyce PTES (Penetration Testing Execution Standard), która standaryzują sposób podejścia i przeprowadzania testów penetracyjnych infrastruktury sieciowej oraz aplikacji. Realizując testy aplikacji webowych korzystamy z rankingu OWASP TOP 10.

bezpieczeństwo_ulotka_1 page

Napisz do nas

Adres email (wymagane)


Treść wiadomości

Wpisz kod z obrazka

captcha


Szkolenia

Zapraszamy do zapoznania się z ofertą naszych szkoleń:

Kliknij obrazek oby przejść do działu Szkolenia.

Webinaria

Zapraszamy do zapisów na bezpłatne webinaria na życzenie.

Kliknij obrazek oby przejść do działu Webinaria.