Wykorzystywane standardy i metodyki
Wykorzystywane standardy i metodyki
Test penetracyjne przeprowadzamy najczęściej w oparciu o OWASP Application Security Verification Standard w aktualnie dostępnej wersji 4.0. Standard ten opisuje 3 poziomy szczegółowości prac, a wybór odpowiedniego wynika z profilu ryzyka dla aplikacji. Instytucje finansowe często zastrzegają wykonanie testu na poziomie II (z dostępem albo bez dostępu do kodu źródłowego).
Przy organizacji prac postępujemy zgodnie ze standardem PTES (Penetration Testing Execution Standard). Przeprowadzenie modelowania zagrożeń jest wymagane przy poprawnie przeprowadzonym teście penetracyjnym. Dla testera najważniejszą informacją wywodzącą się z modelowania zagrozeń stanowi nie tylko przedmiot testu co powierzchnia ataku, aktywa oraz potencjalne intencje atakatującego.
Podatności w raporcie są posortowane według ryzyka, które stwarzają dla aplikacji i przechowywanej w niej danych. Przy określenie ryzyka posługujemy się metodyką Common Vulnerability Scoring System (CVSS).
Kontakt
Chcesz dowiedzieć się wiecej lub zapytać o bezpłatną wycenę? Zapraszamy do kontaktu!
