Nový obchodný model penetračných testov - plaťte iba za odhalenie vážných zraniteľností - Nethemba

BLOG

Nový obchodný model penetračných testov – plaťte iba za odhalenie vážných zraniteľností

2011-09-28 17:34 Pavol Lupták

Objednajte si náš plnohodnotný penetračný test webovej aplikácie a plaťte iba v prípade, že odhalíme vážne zraniteľnosti

K dnešnému dňu spúšťame nový revolučný obchodný model penetračného testovania – plaťte len za odhalenie vážnych zraniteľností. Ak sa nám žiadne vážne zraniteľností nepodarí odhaliť, celý plnohodnotný penetračný test vrátane tvorby výslednej profesionálnej správy dostanete od nás za 1€.

Uvedený model penetračného testovania je možné aplikovať jedine, ak sú splnené nasledujúce podmienky:

  • ide o dynamickú webovú aplikáciu (t.j. nejde o čisté HTML stránky)
  • aplikácia musí umožňovať používateľské prihlásenia a test musí byť vykonaný z pohľadu používateľa tejto aplikácie
  • aplikácia nebola v minulosti testovaná našou spoločnosťou (t.j. nemôže ísť o opakovaný penetračný test)

Samotný penetračný test trvá 3 dni a ďalší deň trvá tvorba výslednej správy.

Ak odhalíme akúkoľvek zraniteľnosť klasifikovanú ako vážnu, klientovi za plnohodnotný penetračný test vyfakturujeme sumu 1490 € bez DPH. V cene je zahrnutá aj tvorba výslednej správy v angličtine alebo v slovenčine, kde okrem iných odhalených zraniteľností demonštrujeme aj praktické zneužitie odhalenej vážnej zraniteľnosti.

Ak naopak neodhalíme žiadnu vážnu zraniteľnosť, klientovi vykonáme celý plnohodnotný penetračný test za 1€ vrátane tvorby výslednej správy, ktorá bude obsahovať všetky menej vážne odhalené zraniteľnosti.

Vážna zraniteľnosť v kontexte tohto penetračného testu je definovaná ako:

  • akákoľvek prakticky zneužiteľná SQL injection zraniteľnosť (taká, pomocou ktorej dokážeme zistiť informácie o bežiacej databáze alebo demonštračne “vydumpovať” ľubovoľný obsah databázy)
  • akákoľvek prakticky zneužiteľná reflexná, dom-based alebo perzistentná XSS zraniteľnosť (taká, pomocou ktorej dokážeme demonštrovať vloženie a spustenie vlastného javascript kódu)
  • akákoľvek prakticky zneužiteľná CSRF zraniteľnosť (taká, pomocou ktorej dokážeme demonštrovať vykonanie ľubovoľnej akcie pod daným autentifikovaným používateľom)
  • akákoľvek zraniteľnosť vedúca k eskalácii privilégií (získanie administrátora, roota, používateľa pod ktorým beží webový server alebo iného používateľa testovanej aplikácie)
  • možnosť funkčného DoS (Denial-Of-Service) útoku (takého, že dokážeme webový server alebo aplikáciu zhodiť na ľubovoľne dlhú dobu – podotýkam, že nejde o distribuovaný DDoS útok)
  • akékoľvek odhalenie citlivých údajov a dokumentov (takých, ktoré sú verejne nedostupné v testovanej aplikácii, prípadne nie sú dostupné pod daným testovacím používateľom a pritom priamo súvisia s testovanou aplikáciou – napríklad hashe hesiel, čísla kreditných kariet, akékoľvek informácie, ktoré mali byť utajené pred daným testovacím používateľom…)

Prečo je tento model penetračného testovania výhodný pre všetkých našich klientov?

Naši penetrační testeri sú vysoko motivovaní odhaliť vážne zraniteľnosti – ak ich neodhalia, naša spoločnosť znáša všetky náklady s tým spojené.

Prečo je tento model penetračného testovania výhodný pre našich klientov, ktorí sí nechajú vytvoriť vlastnú webovú aplikáciu na zákazku?

Ak naši klienti do vzájomnej zmluvy so svojim dodávateľom, ktorý im vyvíja a dodáva samotnú aplikáciu zakotvia nasledujúci dodatok:

“V prípade odhalenia akejkoľvek vážnej zraniteľností (definícia viď. vyššie) v dodanej aplikácii, dodávateľ aplikácie sa zaväzuje objednávateľovi aplikácie zaplatiť pokutu vo výške 1490 € bez DPH a danú odhalenú zraniteľnosť bezodkladne a bez poplatku objednávateľovi aplikácie opraviť”.

tak penetračný test webovej aplikácie, ktorý pre nich vykonáme budú mať takmer úplne zadarmo:

1. Ak ich aplikácia totiž neobsahuje žiadnu vážnu zraniteľnosť, tak celý plnohodnotný penetračný test im vykonáme za 1€ vrátane tvorby výslednej správy –  celé náklady bude znášať naša spoločnosť.

2. Ak ich aplikácia obsahuje vážnu zraniteľnosť (podľa vyššie uvedenej definície), tak sumu za celý penetračný test im preplatí ich dodávateľ aplikácie, nakoľko dôjde k naplneniu uvedeného dodatku zmluvy. Klient opäť za nič neplatí – celý penetračný test mu totiž zaplatí dodávateľ jeho aplikácie.

V oboch prípadoch klient získa – bude mať plnohodnotný penetračný test v najhoršom prípade za 1€.

Je potrebné zdôrazniť, že uvedený dodatok zmluvy medzi objednávateľom aplikácie a samotným dodávateľom danej aplikácie ekonomicky motivuje dodávateľa k tomu, aby klientovi dodal čo najviac bezpečnú aplikáciu, inak bude za to penalizovaný.

Prečo je tento model penetračného testovania výhodný aj pre vývojarske spoločnosti?

Ak je vývojárska spoločnosť presvedčená o tom, že jej vyvíjaná aplikácia je skutočne kvalitná a bezpečná, tak dostane od nás plnohodnotný penetračný test za 1€.