Základný penetračný test aplikácie - Nethemba - IT bezpečnosť

Aplikačná bezpečnosť

Základný penetračný test aplikácie

01
Vhodné pre:
  • malé a jednoduché webové aplikácie a webové stránky pre malých zákazníkov
  • pravidelné automatizované testovanie (s cieľom odhaliť nové zraniteľnosti a chýbajúce bezpečnostné záplaty)
Rozsah výslednej správy:
1-10 strán
Rozsah testovania:
1 deň (testovanie je realizované na diaľku)

Cieľom základného penetračného testu je odhaliť čo najväčšie množstvo najviac kritických zraniteľností vo webovej aplikácii alebo webovom serveri behom jedného dňa.

Test je vykonaný použitím našich špecializovaných komerčných a opensource nástrojov (väčšina z nich je k dispozícii tu). Existencia všetkých vysoko kritických zraniteľností je overená manuálne.
Na voľbu najvhodnejších nástrojov na testovanie zraniteľností webovej aplikácie a servera využívame naše dlhoročné know-how v oblasti bezpečnosti webových aplikácií.

Test pozostáva z nasledujúcich fáz:

  • Zbieranie informácií – o cieľovom systéme sú zozbierané, identifikované a analyzované všetky informácie, vrátane verzie webového serveru, použitých modulov, programovej platformy, WAF a prístupových bodov do aplikácie
  • Enumerovanie a mapovanie zraniteľností – pomocou intruzívnych metód a techník (špeciálne skonštruované HTTP žiadosti) sú identifikované potenciálne slabiny (použité sú špeciálne bezpečnostné scannery, „fault-injection proxies“)
  • Manuálne overenie vysoko kritických zraniteľností (v snahe predísť falošným poplachom)

Vlastnosti:

  • odhaľuje najvážnejšie webové zraniteľnosti (špeciálne také, ktoré sú zapríčinené nedostatočným ošetrovaním vstupov ako SQL injections, XSS/CSRF, pretečenie buffrov, atď.), ktoré môžu byť odhalené plne automatizovaným spôsobom
  • pre detailnejšie a hĺbkovejšie testovanie, ktoré zahŕňa aj manuálne overenie odporúčame realizovať náš štandardný penetračný test alebo detailný bezpečnostný audit webovej aplikácie, ktorý obsahuje aj praktickú „hackerskú demonštráciu“ zneužitia odhalených kritických zraniteľností (tvorba exploitov, dump databázy, demonštrácia zneužitia CSRF/XSS/session fixation zraniteľností atď), jednodňové stretnutie s vývojármi danej aplikácie a kompletné bezpečnostné otestovanie aplikácie podľa testovacej príručky OWASP

Vhodné pre:

  • malé a jednoduché webové aplikácie a webové stránky pre malých zákazníkov
  • pravidelné automatizované testovanie (s cieľom odhaliť nové zraniteľnosti a chýbajúce bezpečnostné záplaty)