Aplikační bezpečnost

Základní penetrační test

01
Vhodné pro:
  • malé a jednoduché webové aplikace a webové stránky a malé zákazníky
  • pravidelné automatizované testování (s cílem odhalit nové zranitelnosti a chybějící bezpečnostní záplaty)
Velikost výsledné zprávy:
1-10 stran
Čas testování:
1 den (testování je realizováno na dálku)

Cílem základního penetračního testu je odhalit co největší množství nejvíce kritických zranitelností ve webové aplikaci nebo webovém serveru během jednoho dne.

Test je proveden použitím našich specializovaných komerčních a opensource nástrojů (většina z nich je k dispozici zde). Existence všech vysoce-kritických zranitelností je ověřena manuálně.
Na volbu nejvhodnějších nástrojů pro testování zranitelností webové aplikace a serveru využíváme naše dlouholeté know-how v oblasti bezpečnosti webových aplikací.

Test se skládá z následujících fází:

  • Sběr informací – o cílovém systému jsou sesbírány, identifikovány a analyzovány všechny dostupné informace, včetně verze webového serveru, použitých modulů, programové platformy, případně identifikace webového aplikačního firewallu a přístupových bodů do aplikace
  • Enumerace a mapování zranitelností – pomocí intrusivních metod a technik (speciálně zkonstruovaného HTTP požadavku) jsou identifikovány potenciální slabiny (použité jsou speciální bezpečnostní scannery a „fault-injection proxies“)
  • Manuální ověření vysoce kritických zranitelností (ve snaze předejít falešným poplachům)

Vlastnosti:

  • odhaluje nejvážnější webové zranitelnosti (speciálně takové, které jsou zapříčiněny nedostatečným ošetřováním vstupů jako SQL Injections, XSS / CSRF, přetečení bufferů, atd..) a které mohou být odhaleny plně automatizovaným způsobem
  • pro detailnější a hloubkové testování, které zahrnuje i manuální ověření doporučujeme realizovat náš standardní penetrační test nebo detailní bezpečnostní audit webové aplikace, který obsahuje i praktickou „hackerskou demonstraci“ zneužití odhalených kritických zranitelností (tvorba exploitů, dump databáze, demonstrace zneužití CSRF / XSS / session fixation zranitelností atd.), jednodenní setkání s vývojáři dané aplikace a kompletní bezpečnostní otestování aplikace podle testovací příručky OWASP