Cílem standardního penetračního testu je odhalit co největší množství kritických zranitelností ve webové aplikaci a webovém serveru během 3 dní, odhalit způsob jejich využití a případnou možnost získání privilegovaného přístupu.
Test se skládá z následujících fází:
- Sběr informací – o cílovém systému jsou sesbírané, identifikované a analyzované všechny dostupné informace, včetně verze webového serveru, použitých modulů, programové platformy, případná identifikace webového aplikačního firewallu a přístupových bodů do aplikace
- Enumerace a mapování zranitelností – pomocí intrusivních metod a technik (speciálně zkonstruovaného HTTP požadavku) jsou identifikovány potenciální slabiny (použité jsou speciální bezpečnostní scannery, „fault-injection proxies“ a také následné manuální ověření)
- Využití zranitelností – pokus o získání přístupu pomocí dříve identifikovaných zranitelností Cílem je získat uživatelský nebo privilegovaný (administrátorský) přístup do aplikace nebo operačního systému
Vlastnosti:
-
odhaluje nejvážnější webové zranitelnosti
-
vzhledem k tomu, že je použité manuální ověření, test je velmi vhodný aj v situacích, kdy selhali vaše bezpečnostní scannery
-
výsledkem je technická správa s manažérským shrnutím, všemi odhalenými zranitelnostmi a jejich stupněm rizika a doporučeními