Bezpieczeństwo aplikacji webowych

Testy penetracyjne aplikacji webowych

Testy penetracyjne aplikacji webowych obejmują symulację ataku hakerskiego na aplikację oraz jej infrastrukturę. Testy najczęściej wykonywane są w jednym z trzech wariantów:

Trzecim wariantem jest White Box. Przy tym podejściu tester przeprowadza konsultacje z developerem, poznaje architekturę, posiada pełny dostęp do kodu źródłowego i dokumentacji. Ten wariant testu jest najbardziej szczegołówy i dodatkowo jest uzupełniony o analizę statyczną kodu. Prace zabiorą niewątpliwie najwięcej czasu jednakże wartością dodaną jest fakt, że pomoże to wdrożyć metodykę Secure Software Development Lifecycle w procesie tworzenie aplikacji. Pełne wprowadzenie testera w proces staję się inwestycją, ponieważ naprawa błędów w trakcie wytwarzania kodu jest znacznie tańsza niż w sytuacji gdy aplikacja znajduję się na systemach produkcyjnych.

Testy aplikacji webowej pozwalają na zbadanie, jaki jest aktualny stan bezpieczeństwa aplikacji oraz jej infrastruktury. Przebieg wykonanej pracy jest zgodny z metodyką OWASP Application Security Verification Standard. Wykorzystujemy szereg narzędzi automatycznych ale największą uwagę skupiamy na manualnej eksploitacji wykrytych podatności.

Najczęściej wskazywane podatności:

Wynikiem testu jest raport wraz z rekomendacjami dotyczącymi poprawnego wyprowadzenia luk bezpieczeństwa. Raport podzielony jest na trzy sekcje. Pierwsza sekcja jest podusmowaniem wykonanych prac dla zarządu lub kadry kierownicznej. Kolejna sekcja dokładnie opisuje zakres i przebieg prac wraz z lisą wykorzystanych narzędzi. Ostatnia sekcja to lista wykrytych podatności zawięracaja dokładny opis, zebrane w trakcie testu dowody oraz rekomendacje od testera. Podatności w raporcie są posortowane wedle ryzyka która stwarzają dla aplikacji i przechowywanej w niej danych. Przy określenie ryzyka posługujemy się motodyką Common Vulnerability Scoring System (CVSS). Wnioski zawarte w raporcie wskazują bazę do dalszych usprawnień aplikacji.

Kontakt

Chcesz dowiedzieć się wiecej lub zapytać o bezpłatną wycenę? Zapraszamy do kontaktu!