Aplikační bezpečnost

Cílem základního penetračního testu je odhalit co největší množství nejvíce kritických zranitelností ve webové aplikaci nebo webovém serveru během jednoho dne.

Test je proveden použitím našich specializovaných komerčních a opensource nástrojů (většina z nich je k dispozici zde). Existence všech vysoce-kritických zranitelností je ověřena manuálně.
Na volbu nejvhodnějších nástrojů pro testování zranitelností webové aplikace a serveru využíváme naše dlouholeté know-how v oblasti bezpečnosti webových aplikací.

Test se skládá z následujících fází:

• Sběr informací – o cílovém systému jsou sesbírány, identifikovány a analyzovány všechny dostupné informace, včetně verze webového serveru, použitých modulů, programové platformy, případně identifikace webového aplikačního firewallu a přístupových bodů do aplikace
• Enumerace a mapování zranitelností – pomocí intrusivních metod a technik (speciálně zkonstruovaného HTTP požadavku) jsou identifikovány potenciální slabiny (použité jsou speciální bezpečnostní scannery a “fault-injection proxies”)
• Manuální ověření vysoce kritických zranitelností (ve snaze předejít falešným poplachům)

Vlastnosti:

• odhaluje nejvážnější webové zranitelnosti (speciálně takové, které jsou zapříčiněny nedostatečným ošetřováním vstupů jako SQL Injections, XSS / CSRF, přetečení bufferů, atd..) a které mohou být odhaleny plně automatizovaným způsobem
• pro detailnější a hloubkové testování, které zahrnuje i manuální ověření doporučujeme realizovat náš standardní penetrační test nebo detailní bezpečnostní audit webové aplikace, který obsahuje i praktickou “hackerskou demonstraci” zneužití odhalených kritických zranitelností (tvorba exploitů, dump databáze, demonstrace zneužití CSRF / XSS / session fixation zranitelností atd.), jednodenní setkání s vývojáři dané aplikace a kompletní bezpečnostní otestování aplikace podle testovací příručky OWASP