Aplikačná bezpečnosť

Štandardný penetračný test

01
Rozsah výslednej správy:
3-10 strán
Rozsah testovania:
3-4 dni

Cieľom štandardného penetračného testu je odhaliť čo najväčšie množstvo čo najviac kritických zraniteľností vo webovej aplikácii alebo webovom serveri behom 3 dní ako aj odhaliť spôsob ich využitia a prípadnú možnosť získania privilegovaného prístupu.

Test pozostáva z nasledujúcich fáz:

  • Zbieranie informácií – o cieľovom systéme sú zozbierané, identifikované a analyzované všetky informácie, vrátane verzie webového serveru, použitých modulov, programovej platformy, WAF a prístupových bodov do aplikácie
  • Enumerovanie a mapovanie zraniteľností – pomocou intruzívnych metód a techník (špeciálne skonštruované HTTP žiadosti) sú identifikované potenciálne slabiny (použité sú špeciálne bezpečnostné scannery, “fault-injection proxies” ako aj manuálne overenie)
  • Využitie zraniteľností – pokus o získanie prístupu pomocou zraniteľností identifikovaných v predchádzajúcej fáze. Cieľom je získať používateľský alebo privilegovaný (administrátorsky) prístup do aplikácie alebo operačného systému (použité sú špeciálne “exploit” skripty a “exploit” systémy).

Vlastnosti:

  • odhaľuje najvážnejšie webové zraniteľnosti (SQL/LDAP injection, XSS/CSRF, pretečenie buffrov, bezpečnostné chyby v biznis logike, obídenie autentizácie, možnosť lokálneho vnorenia súborov)
  • vzhľadom k tomu, že je použité manuálne overenie, test je veľmi vhodný aj v situáciách, kedy vaše bezpečnostné scannery zlyhali
  • výsledkom je technická správa s manažérskym zhrnutím, všetkými odhalenými zraniteľnosťami a ich príslušnými stupňami rizík ako aj odporúčaniami