We use cookies to enhance your experience. By continuing to visit this site you agree to our use of cookies.

Penetrační testování webových aplikací

Pomocí penetračního testu nasimulujeme útok na vaši webovou aplikaci a odhalíme její zranitelná místa. Výstupem testu je srozumitelný report a prezentace shrnující bezpečnostní nedostatky vaší webové aplikace a návrh opatření na jejich odstranění.

V Auxilium Cyber Security máme zkušenosti s penetračním testováním webových aplikací postavených na různých základech od Node.js přes Python Plone CMS, ASP.NET až po webové aplikace v PHP.

Cíle

Hlavním cílem penetračního testu je odhalit bezpečnostní slabiny vaší webové aplikace a navrhnout adekvátní opatření k jejich odstranění.

Metodika penetračního testování webových aplikací

Při webových penetračních testech následujeme průmyslový standard OWASP Top 10 díky kterému otestujeme webovou aplikaci na všechny běžné zranitelnosti. Konkrétně se jedná o následující:

  1. Injektování
  2. Chybná autentizace
  3. Expozice citlivých dat
  4. XML Externí Entity (XXE)
  5. Chybná kontrola přístupu
  6. Nezabezpečená konfigurace
  7. Cross-Site Scripting (XSS)
  8. Nebezpečná deserializace
  9. Použití známých zranitelných komponent
  10. Nedostatečné logování a monitorování

OWASP Top 10 reference pro více informací: https://owasp.org/www-project-top-ten/


OWASP Top 10 standard je dostupný v několika revizích – 2017, 2013 a 2010. Primárně používáme revizi 2017. Avšak konkrétní revizi vždy přizpůsobujeme technologii/frameworku použité danou webovou aplikací tak, abychom aplikaci otestovali na všechny zranitelnosti, které se v ní mohou vyskytovat.

Náš přístup k penetračnímu testování webových aplikací

1. Stanovení základního rámce penetračního testu

První fáze slouží k pochopení potřeb klienta a k detailnímu seznámení se s webovou aplikací, především pak s její funkcionalitou a architekturou. Výstupem je detailní pochopení potřeb klienta a stanovení základního rámce penetračního testu.

2. Vypracování detailní nabídky a její schválení

Na základě pochopení vašich potřeb a požadavků je vypracována detailní nabídka. V rámci nabídky jsou popsány metodiky testování, testovací scénáře, způsob reportování výsledků, a především pak rozsah penetračního testu. Dále je zde navrhnut časový rámec potřebný k úspěšnému vykonání penetračního testu. Výstupem této fáze je odsouhlasení finální nabídky.

3. Penetrační testování

Samotné penetrační testování pak probíhá dle stanovených a odsouhlasených požadavků. Během něj naši certifikovaní penetrační testeři odhalí jednotlivé zranitelnosti a předvedou vám, jak tyto zranitelnosti mohou být zneužity případným útočníkem.

4. Reporting

Vašemu týmu doručíme detailní technickou zprávu, která obsahuje ukázky jednotlivých zranitelností, a návrhů na jejich odstranění. V případě potřeby také ochotně dodáme finální zprávu ve formě prezentace, či manažerského shrnutí daného penetračního testu, které bude srozumitelně komunikovat nálezy a rizika s nimi spojené vedení vaší společnosti.

5. Podpora při odstranění zranitelností

Pokud má vaše organizace omezené vývojové kapacity, můžeme poskytnout součinnost a podporu s odstraňováním odhalených zranitelností.

6. Možnost proškolení vývojového týmu

V Auxilium Cyber Security jsme také na základě výsledků penetračních testů schopni vytvořit pokyny pro bezpečné kódování (secure coding guidelines) a připravit vašemu týmu školení na téma bezpečného vývoje.

Proč si vybrat právě nás?

  1. Náš tým se skládá ze zkušených penetračních testerů s certifikáty OSCP, OSCE nebo CISM.
  2. Vlastní výzkum v oblasti kybernetické bezpečnosti.
  3. Dodáme srozumitelný a detailní technický report včetně návrhů na odstranění zranitelností.
  4. Spolupráce může probíhat v češtině, angličtině nebo němčině.
  5. S penetračním testováním podnikové infrastruktury máme zkušenosti od roku 2015.
  6. V případě potřeby vytvoříme na základě výsledků penetračních testů pokyny pro bezpečné kódování nebo proškolíme vývojový tým.

Náš výzkum v oblasti kybernetické bezpečnosti webových aplikací

  1. [CVE-2020-24807] File Type Restriction Bypass in Socket.io-file NPM module
  2. [CVE-2020-15779] Path Traversal in Socket.io-file NPM module

Vybrané reference v oblasti penetračního testování webových aplikací

  1. Evropská agentura pro bezpečnost sítí a informací (ENISA): Gap analýza a penetrační test webového portálu agentury vůči standardu evropské komise a implementace nápravných opatření. Detail reference.
  2. Asseco Solutions: Penetrační test webové aplikace spisové služby.

Telefon

Germany: +49 (0) 7243 - 718 77 55
Czech Republic: +420 739 467 470

LinkedIn

www.linkedin.com

Adresse

Siemensstraße 23
76275 Ettlingen
Germany
Přístavní 1363/1
17000 Prague
Czech Republic