We use cookies to enhance your experience. By continuing to visit this site you agree to our use of cookies.
impressum / datenschutz

Penetrační testování webových aplikací

Pomocí penetračního testu nasimulujeme útok na vaši webovou aplikaci a odhalíme její zranitelná místa. Výstupem testu je srozumitelný report a prezentace shrnující bezpečnostní nedostatky vaší webové aplikace a návrh opatření na jejich odstranění.

V Auxilium Cyber Security máme zkušenosti s penetračním testováním webových aplikací postavených na různých základech od Node.js přes Python Plone CMS, ASP.NET až po webové aplikace v PHP.

Cíle

Hlavním cílem penetračního testu je odhalit bezpečnostní slabiny vaší webové aplikace a navrhnout adekvátní opatření k jejich odstranění.

Metodika penetračního testování webových aplikací

Při webových penetračních testech následujeme průmyslový standard OWASP Top 10 díky kterému otestujeme webovou aplikaci na všechny běžné zranitelnosti. Konkrétně se jedná o následující:

  1. Injektování
  2. Chybná autentizace
  3. Expozice citlivých dat
  4. XML Externí Entity (XXE)
  5. Chybná kontrola přístupu
  6. Nezabezpečená konfigurace
  7. Cross-Site Scripting (XSS)
  8. Nebezpečná deserializace
  9. Použití známých zranitelných komponent
  10. Nedostatečné logování a monitorování

OWASP Top 10 reference pro více informací: https://owasp.org/www-project-top-ten/


OWASP Top 10 standard je dostupný v několika revizích – 2017, 2013 a 2010. Primárně používáme revizi 2017. Avšak konkrétní revizi vždy přizpůsobujeme technologii/frameworku použité danou webovou aplikací tak, abychom aplikaci otestovali na všechny zranitelnosti, které se v ní mohou vyskytovat.

Náš přístup k penetračnímu testování webových aplikací

1. Stanovení základního rámce penetračního testu

První fáze slouží k pochopení potřeb klienta a k detailnímu seznámení se s webovou aplikací, především pak s její funkcionalitou a architekturou. Výstupem je detailní pochopení potřeb klienta a stanovení základního rámce penetračního testu.

2. Vypracování detailní nabídky a její schválení

Na základě pochopení vašich potřeb a požadavků je vypracována detailní nabídka. V rámci nabídky jsou popsány metodiky testování, testovací scénáře, způsob reportování výsledků, a především pak rozsah penetračního testu. Dále je zde navrhnut časový rámec potřebný k úspěšnému vykonání penetračního testu. Výstupem této fáze je odsouhlasení finální nabídky.

3. Penetrační testování

Samotné penetrační testování pak probíhá dle stanovených a odsouhlasených požadavků. Během něj naši certifikovaní penetrační testeři odhalí jednotlivé zranitelnosti a předvedou vám, jak tyto zranitelnosti mohou být zneužity případným útočníkem.

4. Reporting

Vašemu týmu doručíme detailní technickou zprávu, která obsahuje ukázky jednotlivých zranitelností, a návrhů na jejich odstranění. V případě potřeby také ochotně dodáme finální zprávu ve formě prezentace, či manažerského shrnutí daného penetračního testu, které bude srozumitelně komunikovat nálezy a rizika s nimi spojené vedení vaší společnosti.

5. Podpora při odstranění zranitelností

Pokud má vaše organizace omezené vývojové kapacity, můžeme poskytnout součinnost a podporu s odstraňováním odhalených zranitelností.

6. Možnost proškolení vývojového týmu

V Auxilium Cyber Security jsme také na základě výsledků penetračních testů schopni vytvořit pokyny pro bezpečné kódování (secure coding guidelines) a připravit vašemu týmu školení na téma bezpečného vývoje.

Proč si vybrat právě nás?

  1. Náš tým se skládá ze zkušených penetračních testerů s certifikáty OSCP, OSCE nebo CISM.
  2. Vlastní výzkum v oblasti kybernetické bezpečnosti.
  3. Dodáme srozumitelný a detailní technický report včetně návrhů na odstranění zranitelností.
  4. Spolupráce může probíhat v češtině, angličtině nebo němčině.
  5. S penetračním testováním podnikové infrastruktury máme zkušenosti od roku 2015.
  6. V případě potřeby vytvoříme na základě výsledků penetračních testů pokyny pro bezpečné kódování nebo proškolíme vývojový tým.

Náš výzkum v oblasti kybernetické bezpečnosti webových aplikací

  1. [CVE-2020-24807] File Type Restriction Bypass in Socket.io-file NPM module
  2. [CVE-2020-15779] Path Traversal in Socket.io-file NPM module

Vybrané reference v oblasti penetračního testování webových aplikací

  1. Evropská agentura pro bezpečnost sítí a informací (ENISA): Gap analýza a penetrační test webového portálu agentury vůči standardu evropské komise a implementace nápravných opatření. Detail reference.
  2. Asseco Solutions: Penetrační test webové aplikace spisové služby.

Telefon

Germany: +49 (0) 7243 - 718 77 55
Czech Republic: +420 739 467 470

LinkedIn

www.linkedin.com

Adresse

Siemensstraße 23
76275 Ettlingen
Germany
Jankovcova 1627/16a
17000 Prague
Czech Republic