Aplikační bezpečnost

Standardní penetrační test

01
Vhodné pro:
  • malé, jednoduché webové aplikace a webové stránky
  • webové aplikace, které nevykonávají žádné kritické operace (jako například finanční transakce)
Velikost výsledné zprávy:
3-10 stran
Čas testování:
3-4 dny

Cílem standardního penetračního testu je odhalit co největší množství kritických zranitelností ve webové aplikaci a webovém serveru během 3 dní, odhalit způsob jejich využití a případnou možnost získání privilegovaného přístupu.

Test se skládá z následujících fází:

  • Sběr informací – o cílovém systému jsou sesbírané, identifikované a analyzované všechny dostupné informace, včetně verze webového serveru, použitých modulů, programové platformy, případná identifikace webového aplikačního firewallu a přístupových bodů do aplikace
  • Enumerace a mapování zranitelností – pomocí intrusivních metod a technik (speciálně zkonstruovaného HTTP požadavku) jsou identifikovány potenciální slabiny (použité jsou speciální bezpečnostní scannery, „fault-injection proxies“ a také následné manuální ověření)
  • Využití zranitelností – pokus o získání přístupu pomocí dříve identifikovaných zranitelností Cílem je získat uživatelský nebo privilegovaný (administrátorský) přístup do aplikace nebo operačního systému 

Vlastnosti:

  • odhaluje nejvážnější webové zranitelnosti

  • vzhledem k tomu, že je použité manuální ověření, test je velmi vhodný aj v situacích, kdy selhali vaše bezpečnostní scannery

  • výsledkem je technická správa s manažérským shrnutím, všemi odhalenými zranitelnostmi a jejich stupněm rizika a doporučeními