Penetrační testy webových aplikací

Nabízíte své produkty a služby zákazníkům pomocí webových aplikací? Kromě toho, že webové aplikace zpříjemňují zákazníkům život a firmám zvyšují efektivitu však mohou přinést i nová rizika jak pro firmy, tak pro uživatele. Jste si jisti že právě Vaše aplikace je zcela bezpečná?

Účel

Cílem penetračního testu webové aplikace je ověření reálné odolnosti webové aplikace proti útoku. Odhalit, zda webová aplikace netrpí známými zranitelnostmi (například OWASP Top 10) nebo najít chyby v kódu aplikace vyrobené na zakázku.

Metodika testování

Pro penetrační testování byla vytvořena celá řada metodik, dávajících (především nezkušeným) testerům vodítko, jak při testu postupovat, aby nebylo nic přehlédnuto a každá zranitelnost byla odhalena.

  • OWASP (Open Web Application Security Project) je pravděpodobně nejznámější nezisková organizace zabývající se bezpečností webových (i mobilních) aplikací zaštiťující úspěšné projekty:

    • OWASP Testing Guide (metodika, podle které nejčastěji postupujeme).

    • OWASP Top 10 mapující největší rizika pro webové aplikace, včetně SQLi, XSS, CSRF, XXE (naše testy potvrdí jejich (ne)existenci ve Vašich webových aplikacích).

    • OWASP ASVS (Application Security Verification Standard) – standard pro ověřování bezpečnosti aplikací.

  • NIST (National Institute of Standards and Technology) – americká agentura zaštiťovaná ministerstvem obchodu Spojených států amerických vydala metodiku SP 800-115 – Technical Guide to Information Security Testing and Assessment zvláště vhodnou pro testování SCADA systémů.

  • OSSTMM (Open Source Security Testing Methodology Manual) je metodika neziskové organizace ISECOM zaměřená na testování pomocí open source nástrojů.

Fáze testování

Typický penetrační test webové aplikace probíhá v následujících krocích (v souladu s OWASP Testing Guide):

  • Information Gathering
  • Configuration and Deployment Management Testing
  • Identity Management Testing
  • Authentication Testing
  • Authorization Testing
  • Session Management Testing
  • Input Validation Testing
  • Testing for Error Handling
  • Testing for weak Cryptography
  • Business Logic Testing
  • Client Side Testing

Reporting

Všechny závěry z testu spolu s navrhovanými doporučeními jsou uvedeny v přehledné závěrečné zprávě.

Další typy testů

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Máte otázky?

Pokud Vás zajímá více detailů, prosím kontaktujte nás.

Dotaz e-mailem