Penetrační testování webových aplikací
Pomocí penetračního testu nasimulujeme útok na vaši webovou aplikaci a odhalíme její zranitelná místa. Výstupem testu je srozumitelný report a prezentace shrnující bezpečnostní nedostatky vaší webové aplikace a návrh opatření na jejich odstranění.
V Auxilium Cyber Security máme zkušenosti s penetračním testováním webových aplikací postavených na různých základech od Node.js přes Python Plone CMS, ASP.NET až po webové aplikace v PHP.
Cíle
Hlavním cílem penetračního testu je odhalit bezpečnostní slabiny vaší webové aplikace a navrhnout adekvátní opatření k jejich odstranění.
Metodika penetračního testování webových aplikací
Při webových penetračních testech následujeme průmyslový standard OWASP Top 10 díky kterému otestujeme webovou aplikaci na všechny běžné zranitelnosti. Konkrétně se jedná o následující:
- Injektování
- Chybná autentizace
- Expozice citlivých dat
- XML Externí Entity (XXE)
- Chybná kontrola přístupu
- Nezabezpečená konfigurace
- Cross-Site Scripting (XSS)
- Nebezpečná deserializace
- Použití známých zranitelných komponent
- Nedostatečné logování a monitorování
OWASP Top 10 reference pro více informací: https://owasp.org/www-project-top-ten/
OWASP Top 10 standard je dostupný v několika revizích – 2017, 2013 a 2010. Primárně používáme revizi 2017. Avšak konkrétní revizi vždy přizpůsobujeme technologii/frameworku použité danou webovou aplikací tak, abychom aplikaci otestovali na všechny zranitelnosti, které se v ní mohou vyskytovat.
Náš přístup k penetračnímu testování webových aplikací
1. Stanovení základního rámce penetračního testu
První fáze slouží k pochopení potřeb klienta a k detailnímu seznámení se s webovou aplikací, především pak s její funkcionalitou a architekturou. Výstupem je detailní pochopení potřeb klienta a stanovení základního rámce penetračního testu.2. Vypracování detailní nabídky a její schválení
Na základě pochopení vašich potřeb a požadavků je vypracována detailní nabídka. V rámci nabídky jsou popsány metodiky testování, testovací scénáře, způsob reportování výsledků, a především pak rozsah penetračního testu. Dále je zde navrhnut časový rámec potřebný k úspěšnému vykonání penetračního testu. Výstupem této fáze je odsouhlasení finální nabídky.3. Penetrační testování
Samotné penetrační testování pak probíhá dle stanovených a odsouhlasených požadavků. Během něj naši certifikovaní penetrační testeři odhalí jednotlivé zranitelnosti a předvedou vám, jak tyto zranitelnosti mohou být zneužity případným útočníkem.4. Reporting
Vašemu týmu doručíme detailní technickou zprávu, která obsahuje ukázky jednotlivých zranitelností, a návrhů na jejich odstranění. V případě potřeby také ochotně dodáme finální zprávu ve formě prezentace, či manažerského shrnutí daného penetračního testu, které bude srozumitelně komunikovat nálezy a rizika s nimi spojené vedení vaší společnosti.5. Podpora při odstranění zranitelností
Pokud má vaše organizace omezené vývojové kapacity, můžeme poskytnout součinnost a podporu s odstraňováním odhalených zranitelností.6. Možnost proškolení vývojového týmu
V Auxilium Cyber Security jsme také na základě výsledků penetračních testů schopni vytvořit pokyny pro bezpečné kódování (secure coding guidelines) a připravit vašemu týmu školení na téma bezpečného vývoje.Proč si vybrat právě nás?
- Náš tým se skládá ze zkušených penetračních testerů s certifikáty OSCP, OSCE nebo CISM.
- Vlastní výzkum v oblasti kybernetické bezpečnosti.
- Dodáme srozumitelný a detailní technický report včetně návrhů na odstranění zranitelností.
- Spolupráce může probíhat v češtině, angličtině nebo němčině.
- S penetračním testováním podnikové infrastruktury máme zkušenosti od roku 2015.
- V případě potřeby vytvoříme na základě výsledků penetračních testů pokyny pro bezpečné kódování nebo proškolíme vývojový tým.
Náš výzkum v oblasti kybernetické bezpečnosti webových aplikací
- [CVE-2020-24807] File Type Restriction Bypass in Socket.io-file NPM module
- [CVE-2020-15779] Path Traversal in Socket.io-file NPM module
Vybrané reference v oblasti penetračního testování webových aplikací
- Evropská agentura pro bezpečnost sítí a informací (ENISA): Gap analýza a penetrační test webového portálu agentury vůči standardu evropské komise a implementace nápravných opatření. Detail reference.
- Asseco Solutions: Penetrační test webové aplikace spisové služby.
Telefon
Germany: +49 (0) 7243 - 718 77 55Czech Republic: +420 739 467 470
Adresse
76275 Ettlingen
Germany
17000 Prague
Czech Republic