Cílem základního penetračního testu je odhalit co největší množství nejvíce kritických zranitelností ve webové aplikaci nebo webovém serveru během jednoho dne.
Test je proveden použitím našich specializovaných komerčních a opensource nástrojů (většina z nich je k dispozici zde). Existence všech vysoce-kritických zranitelností je ověřena manuálně.
Na volbu nejvhodnějších nástrojů pro testování zranitelností webové aplikace a serveru využíváme naše dlouholeté know-how v oblasti bezpečnosti webových aplikací.
Test se skládá z následujících fází:
- Sběr informací – o cílovém systému jsou sesbírány, identifikovány a analyzovány všechny dostupné informace, včetně verze webového serveru, použitých modulů, programové platformy, případně identifikace webového aplikačního firewallu a přístupových bodů do aplikace
- Enumerace a mapování zranitelností – pomocí intrusivních metod a technik (speciálně zkonstruovaného HTTP požadavku) jsou identifikovány potenciální slabiny (použité jsou speciální bezpečnostní scannery a „fault-injection proxies“)
- Manuální ověření vysoce kritických zranitelností (ve snaze předejít falešným poplachům)
Vlastnosti:
- odhaluje nejvážnější webové zranitelnosti (speciálně takové, které jsou zapříčiněny nedostatečným ošetřováním vstupů jako SQL Injections, XSS / CSRF, přetečení bufferů, atd..) a které mohou být odhaleny plně automatizovaným způsobem
- pro detailnější a hloubkové testování, které zahrnuje i manuální ověření doporučujeme realizovat náš standardní penetrační test nebo detailní bezpečnostní audit webové aplikace, který obsahuje i praktickou „hackerskou demonstraci“ zneužití odhalených kritických zranitelností (tvorba exploitů, dump databáze, demonstrace zneužití CSRF / XSS / session fixation zranitelností atd.), jednodenní setkání s vývojáři dané aplikace a kompletní bezpečnostní otestování aplikace podle testovací příručky OWASP