Penetrační test webové aplikace

Pod webovou aplikací si lze představit prezentační web i rozsáhlý informační systém. Poradíme si s obojím a připravíme test na míru vašim potřebám.

Přínosy

Webové aplikace jsou často vyvíjeny na zakázku podle potřeb jejich provozovatele. Unikátnost každé aplikace s sebou nese i unikátnost bezpečnostních nedostatků, které se v ní mohou vyskytovat. Z toho důvodu jsou webové aplikace jedním z nejčastějších a často nejsnadnějších cílů pro útočníky.

Speciálně webové aplikace přístupné z internetu jsou vystaveny neustálým automatizovaným skenům, které se snaží zneužít jejich potenciální zranitelnosti.

Část nedostatků mohou nalézt automatizované nástroje, s některými druhy zranitelností, jako jsou například chyby v aplikační logice, si ale neporadí. Při našich testech proto vždy kombinujeme pokročilé automatizované nástroje (včetně komerčních) s důkladným manuálním testováním.

Průběh testů

Testy mohou probíhat z pohledu anonymního uživatele (black box), z pohledu autentizovaného uživatele (grey box) nebo i s důkladnou znalostí prostředí, například včetně přístupu ke zdrojovým kódům backendu (white box). Čím více informací má tester k dispozici, tím přesnější výsledky může poskytnout. Nejčastěji se setkáváme s grey box testy.

Podle rozsahu aplikace mohou testy trvat od několika dní po několik týdnů.

Naše testy vycházejí z metodiky OWASP WSTG (OWASP Web Security Testing Guide). Neopomíjíme ani seznam nejčastějších zranitelností OWASP Top 10, inspirujeme se checklistem dle OWASP ASVS a napříč týmem testerů sdílíme zkušenosti z mnoha předchozích projektů.

Testy vždy pokrývají všechny kapitoly dle OWASP WSTG, konkrétně:

• Information Gathering
• Configuration and Deployment Management Testing
• Identity Management Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Input Validation Testing
• Testing for Error Handling
• Testing for weak Cryptography
• Business Logic Testing
• Client-side Testing

Další typy testů

Mnoho moderních webových aplikací využívá na pozadí API. Pokud není k dispozici webový frontend, nabízíme i testy samostatných API. Nabízíme také testy mobilních a desktopových aplikací.

Detailnější analýzu zdrojových kódů webové aplikace můžeme provést v rámci code review.

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Závěrečná zpráva

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.