Čeština
English
Bezpečnostní audit WWW
Bezpečnostní audit WWW aplikací
Aplikace se s rozvojem nových technologií internetu stále více přesouvají online, za hranici organizace. Význam těchto aplikací roste a často představují samotnou podstatu podnikání (např. banky, e-shopy či aukce). To si uvědomují i útočníci, kteří se snaží prostřednictvím slabin webových aplikací získat citlivá data nebo dokonce poškodit provozovatele jejich znepřístupněním. Pokud jste provozovateli či uživateli některé z podobných aplikací, zvažte prověření jejich zabezpečení a odolnost vůči útokům hackerů a dalším možným hrozbám.
Naši specialisté prověří vaši aplikaci proti obvyklým útokům a hrozbám. Audit není zaměřený jen na samotnou aplikaci, ale také na související operační systém, databázové služby a další podpůrné služby, jako je např. WWW server, aplikační server aj.
Popis testu
Při tomto testu je simulován útok na WWW aplikaci zákazníka z vnějšího prostředí, tj. konzultant simuluje počínání potenciálního útočníka provádějícího útok z Internetu.
Jelikož jsou WWW aplikace ve většině případů softwarová díla na zakázku, obsahují chyby, které jsou s rovněž neopakovatelné a „na zakázku“.
Pro testování WWW aplikací lze v zásadě využít dva různé režimy přístupu, případně kombinaci obou:
- Testování bez znalosti - Prověření je prováděno z anonymní úrovně běžného uživatele internetu.
- Testování se znalosti - Předpokládá se znalost autentizačních údajů do aplikace. Tester zkoumá, zda práva přidělená uživateli nelze nějakým způsobem obejít či eskalovat.
Metodika
Při testování využíváme vlastní metodiku testování, která se opírá o uznávaný standard OWASP a projekt Top 10.
|
Typ útoku |
Popis |
|
SQL injection |
nedůsledné ošetření vstupů v některých případech umožňuje útočníkovi modifikovat SQL dotazy spouštěné v databázi, což může vést k neoprávněnému získání/modifikaci dat nebo dokonce ke spuštění vlastního kódu na databázovém serveru |
|
Cross site scripting (XSS) |
WWW server trpící touto slabinou může být zneužit jako prostředník při útoku spočívajícím ve spuštění kódu (obvykle Javascript) v prohlížeči uživatele-oběti, který považuje zranitelný server za důvěryhodný |
|
URL tampering |
manipulace se strukturou URL a/nebo parametry předávanými v rámci URL může u zranitelné aplikace vést k provedení „neočekávaných“ akcí |
|
Hidden field manipulation |
útok na často citlivá data předávaná v rámci HTML formulářů v tzv. HIDDEN polích (nejsou viditelná pro běžného uživatele) |
|
HTTP response splitting attack |
specifický útok, při kterém je útočník schopen nežádoucím způsobem rozdělit HTTP hlavičku a vytvořit „falešnou“ odpověď pocházející ze zranitelného serveru |
|
Cross site tracing (XST) |
možnost zneužití metody TRACE k získání citlivých informací z http hlaviček (session cookies, autentizační údaje) |
|
Session hijacking |
neoprávněný přístup získaný „unesením“ cizí relace (např. získání či uhodnutí session cookie) |
|
Cookie poisoning |
manipulace s cookie v rámci http relace nebo „podstrčení“ falešné cookie způsobem, který nežádoucím způsobem ovlivní chování aplikace |
|
Brute force attacks |
útoky hrubou silou – obvykle hádání jména a/nebo hesla, cookie, parametru URL aj. |
|
Forceful (direct access) browsing |
přímý přístup ke stránkám/souborům, které mnohdy nejsou publikovány (není na ně nikde odkazováno), obejití logiky aplikace |
|
Attacking SSL |
testování zranitelností použité SSL implementace |
|
Bypassing Client-Side Validation |
prověření odolnosti aplikace při obejití či deaktivaci kontrol na straně klienta (prohlížeče) |
Výsledky prověření a doporučení pro odstranění zjištěných neshod jsou součástí závěrečné zprávy a na úrovni manažerského shrnutí prezentovány na závěrečné prezentaci výsledků testů v sídle zákazníka.
Nespoléhejte se při zajišťování bezpečnosti aplikace jen na tvrzení dodavatelů. Nezávislý audit, nezatížený tvorbou aplikace, již mnohokrát odhalil závažné nedostatky a zabránil tím hrozící finanční ztrátě nebo poškození image společnosti. Můžete tak ochránit svůj dobrý projekt, minimálně před negativní reklamou.