Penetrační test webové aplikace

Nabízíte své produkty a služby zákazníkům pomocí webových aplikací? Kromě toho, že webové aplikace zpříjemňují zákazníkům život a firmám zvyšují efektivitu, mohou přinést i nová rizika jak pro firmy, tak pro uživatele. Jste si jisti, že právě Vaše aplikace je zcela bezpečná?

Účel

Cílem penetračního testu webové aplikace je ověření reálné odolnosti webové aplikace proti útoku. Odhalit, zda webová aplikace netrpí známými zranitelnostmi (například OWASP Top 10) nebo najít chyby v aplikaci vyrobené na zakázku.

Metodika testování

Pro penetrační testování byla vytvořena celá řada metodik, dávajících (především nezkušeným) testerům vodítko, jak při testu postupovat, aby nebylo nic přehlédnuto a každá zranitelnost byla odhalena.

• OWASP (Open Web Application Security Project) – nezisková organizace zabývající se bezpečností webových (i mobilních) aplikací zaštiťující úspěšné projekty:

  • OWASP Testing Guide (metodika, podle které nejčastěji postupujeme);

  • OWASP Top 10 mapující největší rizika pro webové aplikace, včetně SQLi, XSS, CSRF, XXE (naše testy potvrdí jejich (ne)existenci ve Vašich webových aplikacích);

  • OWASP ASVS (Application Security Verification Standard) – standard pro ověřování bezpečnosti aplikací.

  • OWASP WSTG (Web Security Testing Guide).

• NIST (National Institute of Standards and Technology) – americká agentura zaštiťovaná ministerstvem obchodu Spojených států amerických vydala metodiku SP 800-115 – Technical Guide to Information Security Testing and Assessment zvláště vhodnou pro testování SCADA systémů.

• OSSTMM (Open Source Security Testing Methodology Manual) – metodika neziskové organizace ISECOM zaměřená na testování pomocí open source nástrojů.

Fáze testování

Typický penetrační test webové aplikace probíhá v následujících krocích (v souladu s OWASP Testing Guide):

• Information Gathering
• Configuration and Deployment Management Testing
• Identity Management Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Input Validation Testing
• Testing for Error Handling
• Testing for weak Cryptography
• Business Logic Testing
• Client Side Testing

Závěrečná zpráva

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.

Další typy testů

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.