Penetrační testy webových aplikací

Nabízíte své produkty a služby zákazníkům pomocí webových aplikací? Kromě toho, že webové aplikace zpříjemňují zákazníkům život a firmám zvyšují efektivitu, mohou přinést i nová rizika jak pro firmy, tak pro uživatele. Jste si jisti, že právě Vaše aplikace je zcela bezpečná?

Účel

Cílem penetračního testu webové aplikace je ověření reálné odolnosti webové aplikace proti útoku. Odhalit, zda webová aplikace netrpí známými zranitelnostmi (například OWASP Top 10) nebo najít chyby v aplikaci vyrobené na zakázku.

Metodika testování

Pro penetrační testování byla vytvořena celá řada metodik, dávajících (především nezkušeným) testerům vodítko, jak při testu postupovat, aby nebylo nic přehlédnuto a každá zranitelnost byla odhalena.

  • OWASP (Open Web Application Security Project) – nezisková organizace zabývající se bezpečností webových (i mobilních) aplikací zaštiťující úspěšné projekty:

    • OWASP Testing Guide (metodika, podle které nejčastěji postupujeme);

    • OWASP Top 10 mapující největší rizika pro webové aplikace, včetně SQLi, XSS, CSRF, XXE (naše testy potvrdí jejich (ne)existenci ve Vašich webových aplikacích);

    • OWASP ASVS (Application Security Verification Standard) – standard pro ověřování bezpečnosti aplikací.

    • OWASP WSTG (Web Security Testing Guide).

  • NIST (National Institute of Standards and Technology) – americká agentura zaštiťovaná ministerstvem obchodu Spojených států amerických vydala metodiku SP 800-115 – Technical Guide to Information Security Testing and Assessment zvláště vhodnou pro testování SCADA systémů.

  • OSSTMM (Open Source Security Testing Methodology Manual) – metodika neziskové organizace ISECOM zaměřená na testování pomocí open source nástrojů.

Fáze testování

Typický penetrační test webové aplikace probíhá v následujících krocích (v souladu s OWASP Testing Guide):

  • Information Gathering
  • Configuration and Deployment Management Testing
  • Identity Management Testing
  • Authentication Testing
  • Authorization Testing
  • Session Management Testing
  • Input Validation Testing
  • Testing for Error Handling
  • Testing for weak Cryptography
  • Business Logic Testing
  • Client Side Testing

Reporting

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a samozřejmě doporučení ke snížení rizika.

Pro klasifikaci závažnosti zranitelnosti standardně využíváme škálu: Nízká (Low), Střední (Medium), Vysoká (High) a Kritická (Critical). V případě požadavku zákazníka přidáme hodnocení pomocí CVSS skóre (Common Vulnerability Scoring System) nebo použijeme zákazníkem dodané klasifikační schéma.

Zpráva je připravena ve formátu MS Word a PDF a zákazníkovi zaslána bezpečným způsobem.

Penetrační testy mohou být zakončeny prezentací výsledků u zákazníka – manažerská prezentace nebo technický workshop/diskuse nad závěrečnou zprávou.

Další typy testů

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Vzorová zpráva

Ukázka výstupu pro lepší představu o kvalitě naší práce.

Demo zpráva


Máte otázky?

Pokud Vás zajímá více detailů, prosím kontaktujte nás.

Dotaz e-mailem