Testy penetracyjne aplikacji webowych i mobilnych

 

Serwisy internetowe oraz aplikacje webowe i mobilne dostępne są domyślnie dla wszystkich użytkowników Internetu. Dość często do prawidłowego działania wykorzystują wewnętrzne skrypty i połączenia do baz danych, korzystają z wewnętrznych zasobów plikowych oraz systemu pocztowego. Ze względu na swoją nieprzerwaną dostępność stanowią one najczęstsze źródło ataków. Testy bezpieczeństwa aplikacji webowych i mobilnych zaleca się przeprowadzać przynajmniej raz w roku oraz po dokonanej każdej modyfikacji ich funkcjonalności.

Test penetracyjny aplikacji webowej najczęściej przeprowadza się zgodnie z wytycznymi organizacji OWASP. Organizacja ta wskazuje TOP 10 najczęściej występujących podatności w aplikacjach webowych. Aktualny spis znajduje się na stronie organizacji OWASP – TOP 10

  • A1 Injection
  • A2 Broken Authentication and Session Management
  • A3 Cross-Site Scripting (XSS)
  • A4 Insecure Direct Object References
  • A5 Security Misconfiguration
  • A6 Sensitive Data Exposure
  • A7 Missing Function Level Access Control
  • A8 Cross-Site Request Forgery (CSRF)
  • A9 Using Components with Known Vulnerabilities
  • A10 Unvalidated Redirects and Forwards

Organizacja OWASP wskazuje również TOP 10 zagrożeń najczęściej występujących w systemach mobilnych. Wykaz w raz ze szczegółowym ich opisem również znajduje się na stronach organizacji TOP 10 Mobile Risks

  • M1: Weak Server Side Controls
  • M2: Insecure Data Storage
  • M3: Insufficient Transport Layer Protection
  • M4: Unintended Data Leakage
  • M5: Poor Authorization and Authentication
  • M6: Broken Cryptography
  • M7: Client Side Injection
  • M8: Security Decisions Via Untrusted Inputs
  • M9: Improper Session Handling
  • M10: Lack of Binary Protections

Organizacja OWASP stworzyła również standard i wskazuje jakie prace podczas przeprowadzania testów aplikacji webowych należy wykonać. Prace te zostały opisane w dokumencie OWASP Testing Guide v4. Dla osób zajmujących się tworzeniem aplikacji webowych, ale i również dla osób je testujących organizacja OWASP stworzyła również dokument, w którym zawiera informacje na temat elementów funkcjonalnych jakie powinny być zaimplementowane w aplikacji oraz jakie poziomy zabezpieczeń powinna mieć włączone, zależnie od rodzaju przeznaczenia i danych jakie przetwarza. Dokument ten znajduje się na stronie organizatora pod adresem OWASP Application Security Verification Standard Project.

Zaletą wykonania analizy podatności przez naszą firmę jest:

  • brak opłat za licencję używanego oprogramowania
  • gwarancja dobrania do testów osób z wymaganym doświadczeniem, zależnym od badanych komponentów i według standardów organizacji OWASP
  • wykonanie realnych prób wykorzystania wykrytych podatności
  • przekazanie raportu z faktycznie występującymi zagrożeniami wraz z opisaniem prac jakie należy wykonać aby je wyeliminować oraz wsparciem po audytowym
  • dodatkowe (opcjonalne) wsparcie we wdrożeniu zaleceń wskazanych w raporcie
  • oszczędność czasu, gdyż analizę możemy wykonać zdalnie

Posiadamy duże doświadczenie w przeprowadzaniu testów podatności aplikacji mobilnych i stron internetowych. Prace realizujemy poprzez odpowiednio dobrany zespół i zgodnie ze światowymi standardami. Zachęcamy do skorzystania z usług realizowanych przez nasz zespół.