Testy bezpieczeństwa aplikacji internetowych
Wykonujemy testy bezpieczeństwa aplikacji internetowych. Sprawdzimy bezpieczeństwo aplikacji webowej według Twoich oczekiwań bądź zgodnie z uznawaną na rynku metodyką OWASP Top10. W naszej historii wykonaliśmy wiele aplikacji online i wiemy jak często systemy te poddawane są atakom, szczególnie spoza terytorium Polski.
Testy OWASP Top10
OWASP (Open Web Application Security Project) jest globalną społecznością skupiającą profesjonalistów z obszaru IT security, a wydana przez nich lista Top 10 opisuje najpowszechniejsze problemy i zagrożenia bezpieczeństwa aplikacji internetowych. W skład testów OWASP Top10 wchodzi wykrycie podatności:
- Injection - wstrzyknięcia,
- Broken Authentication and Session Management - słabości mechanizmów uwierzytelniania oraz zarządzania sesją,
- Cross-Site Scripting - podatności na ataki typu XSS,
- Insecure Direct Object References - nieodpowiednio zabezpieczonych odwołań do obiektów,
- Security Misconfiguration - słabości konfiguracji,
- Sensitive Data Exposure - słabości zabezpieczeń wrażliwych danych,
- Missing Function Level Access Control - słabości w kontroli dostępu,
- Cross-Site Request Forgery - podatności na ataki CSRF,
- Using Components with Known Vulnerabilities - komponentów posiadających znane podatności,
- Unvalidated Redirects and Forwards - braku walidacji przekierowań.
Sposób realizacji testów
Testy bezpieczeństwa aplikacji realizowane są w dwóch etapach:
- Etap 1 - testowanie. Testy penetracyjne wskazanej aplikacji, we wskazanej lokalizacji przy użyciu technik manualnych a także przy wykorzystaniu narzędzi automatycznych.
- Etap 2 - raportowanie. Opis przeprowadzonych testów oraz przedstawienie listy zidentyfikowanych podatności wraz ze szczegółami miejsca podatności, wynikające z niego zagrożenia oraz rekomendacje dotyczące sposobu wyeliminowania podatności.
Dlaczego przeprowadzamy testy bezpieczeństwa?
Warto pamiętać, że bezpieczeństwo jest procesem, nie gotowym produktem zakupionym raz, którym możemy cieszyć się latami. System informatyczny bezpieczny w dniu jego wdrożenia za kilka tygodni może okazać się, że nie spełnia już warunków systemu uznawanego za bezpieczny. Jeśli Twoja działalność jest sprzężona z internetem należy rozważyć weryfikację jej bezpieczeństwa cyklicznie w czasie.