Testy serwisów i aplikacji wstawionych do Internetu

Dlaczego warto przeprowadzić testy stron i aplikacji internetowych?

Strony internetowe i aplikacje są częstym celem ataków hackerskich. Mogą być one zlecone przez nieuczciwą konkurencję, ale też zawiedzionego partnera czy pracownika, a nawet dokonane „dla zabawy” przez młodocianych pasjonatów IT, którzy nie zdają sobie sprawy z konsekwencji swoich działań.

Niezależnie od tego, czy korzystasz z indywidualnych rozwiązań, czy też z systemów typu open-source, ich bezpieczeństwo zależy również od Ciebie

Jeżeli strona lub aplikacja jest zintegrowana z systemem wewnętrznym np. ERP, dodatkowym ryzykiem jest utrata danych, know-how oraz zainfekowanie sieci LAN i innych systemów oraz komputerów czy urządzeń, które się w niej znajdują.

Co dostanę po testach?

Po testach dostaniesz raport ze zidentyfikowanymi obszarami do poprawy bezpieczeństwa. Wszystkie znalezione luki będą oznaczone poziomem ryzyka (wg. Common Vulnerability Scoring System – CVSS) i oznaczone w najpopularniejszych standardach (OVAL, CVE). Raport będzie też zawierał listę zgłoszeń gwarancyjnych do istniejących dostawców, jeżeli zostaną one zidentyfikowane.

CyberClue nie zostawia Cię z samym raportem. Możemy również pomóc we wprowadzeniu wszystkich koniecznych poprawek i zmian.

Częste konsekwencje ataku na aplikacje i strony webowe.

Wszystkie opcje prowadzą do strat wizerunkowych, a dodatkowo mogą spowodować straty finansowe zarówno dla Twojej firmy, jak i dla Twoich klientów.

Przejęcie systemów wystawionych do Internetu, a połączonych z siecią LAN
Przeniknięcie dalej do sieci wewnętrznej przez takie systemy
Atak na aplikacje webowe udostępnione do klientów
Kradzież danych

Jak przeprowadzamy testy?

Testy są wykonywane przez certyfikowanych specjalistów CyberClue polegają na próbie przeprowadzenia kontrolowanego, bezpiecznego dla klienta, ale realnego ataku na serwis czy aplikację webową. Celem jest określenie poziomu ich bezpieczeństwa, wykrycie podatności (luk, które mogą wykorzystać cyberprzestępcy) oraz określeniu działań naprawczych, zwiększających bezpieczeństwo.

Zakres, dokładny czas i dopuszczalne działania są szczegółowo omawiane i definiowane z klientem, aby zapewnić ciągłość działań biznesowych i bezpieczeństwo w całym procesie.

Testy wykonujemy bazując na różnych metodykach OWASP, OSSTMM oraz NIST, rozszerzonych o elementy wypracowane przez naszych ekspertów.

Testy bezpieczeństwa serwisów i aplikacji wstawionych do Internetu, w zależności od potrzeb, obejmują:

Weryfikację konfiguracji serwera www
Weryfikację kodu źródłowego
Sprawdzenie bezpieczeństwa systemów CMS Zastosowanie techniki Google Hacking
Weryfikację konfiguracji serwera www: zwracane nagłówki, używane technologie wraz z wersjami, dostępne katalogi
Próby enumeracji i przełamania zabezpieczeń kont użytkowników – badanie losowości ID sesji, próba detekcji składni nazywania cookie sesyjnego, sprawdzenie bezpieczeństwa budowy formularza logowania
Weryfikację poziomu zabezpieczeń SSL/TLS
Detekcję błędów aplikacyjnych (SQL, XSS, CSFR)
Próbę wykonania złośliwego kodu na serwerze
Próbę kradzieży danych
Sprawdzenie możliwości dostępu do ważnych danych bez szyfrowania
Sprawdzenie możliwości dojścia do kodów źródłowych wykorzystywanego oprogramowania
Sprawdzenie możliwości niekontrolowanego dostępu do plików oraz katalogów (Path Traversal/LFI)
Sprawdzenie występowania otwartych przekierowywań (Open Redirection)
Sprawdzenie możliwości „wstrzyknięcia” i otwierania zewnętrznych plików za pomocą adresu URL (File Inclusion)
Sprawdzenie występowania podatności typu Response Splitting

Typy wykonywanych testów:

1.

Blackbox

2.

Greybox

3.

Whitebox

Testy penetracyjne aplikacji:

Planowanie i przygotowanie w porozumieniu z klientem (uzyskanie zgód oraz określenie zasobów krytycznych)
Rekonesans
• Pasywne zbieranie informacji
• Aktywne skanowanie
• Analiza publicznie dostępnych repozytoriów kodu i subdomen
Analiza kodu aplikacji*
Testy API pod kątem OWASP API Security Top 10
Weryfikacja aplikacji pod kątem błędów w konfiguracji i zabezpieczeniach
Manualna weryfikacja każdej wykrytej podatności
Analiza i raportowanie (Raport zawierający Executive Summary może zostać dostarczony w języku polskim, angielskim lub niemieckim)

Jako dodatkowe usługi możemy zaproponować:

Wsparcie przy usunięciu luk bezpieczeństwa
Retest po usunięciu luk przez klienta
Raport może podlegać dodatkowej weryfikacji przez drugiego audytora

* W przypadku testów whitebox

Standardy:

OWASP ASVS
OWASP WSTG
OWASP MSTG
OWASP MASVS

Testy penetracyjne aplikacji webowych – przykładowy zakres*

Identyfikacja wersji i aktualności oprogramowania
Przegląd repozytoriów podatności w celu weryfikacji istnienia podatności dla zidentyfikowanych wersji oprogramowania
Sprawdzenie podatności komponentów aplikacji
Weryfikacja zastosowanych mechanizmów uwierzytelnienia / autoryzacji
Analiza logiki aplikacji pod kątem bezpieczeństwa (poufności, integralności, dostępności)
Sprawdzenie zabezpieczeń panelu logowania przed nieupoważnionym dostępem lub próby uzyskania dostępu do panelu administracyjnego za pomocą kont użytkowników o niższych uprawnieniach
Próba typowych ataków dla aplikacji webowych i web serwisów (OWASP TOP 10)
Weryfikacji zabezpieczenia sesji klientów aplikacji
Analiza polityki haseł w aplikacji oraz analiza metod uwierzytelnienia
Próba ominięcia mechanizmów uwierzytelnienia
Próba ominięcia mechanizmów autoryzacji
Próba przejęcia sesji użytkownika uwierzytelnionego
Próba eskalowania uprawnień w ramach aplikacji
Próba uzyskania bezpośredniego dostępu do infrastruktury hostującej (konteneryzacji, systemu operacyjnego, bazy danych i innych komponentów powiązanych z aplikacją)
Analiza wykorzystywanego przez aplikację szyfrowania przesyłanych danych, pod kątem dostępnych/wykorzystywanych algorytmów
Analiza nagłówków http pod kątem bezpieczeństwa
Badanie mechanizmów ochrony przed wprowadzeniem złośliwego kodu
Analiza mechanizmu obsługi błędów aplikacji pod kątem ujawnienia informacji
Sprawdzenie mechanizmów walidacji danych wejściowych
Weryfikacja mechanizmów ochrony danych
Sprawdzenie mechanizmów ochrony zasobów plikowych: sprawdzenie możliwości podmiany plików na serwerach aplikacyjnych.

* Zakres podstawowy, rekomendowany. Zakres szczegółowy jest ustalany indywidualnie, zgodnie z potrzebami i charakterystyką organizacji.

Testy penetracyjne aplikacji mobilnych – przykładowy zakres*

Inżynieria wsteczna i dekompilacja kodu
Identyfikacja wersji i aktualności oprogramowania
Bezpieczeństwo przechowywania danych lokalnie
Przegląd repozytoriów podatności w celu weryfikacji istnienia podatności dla zidentyfikowanych wersji oprogramowania
Sprawdzenie podatności komponentów aplikacji
Weryfikacja zastosowanych mechanizmów uwierzytelnienia / autoryzacji
Analiza logiki aplikacji pod kątem bezpieczeństwa (poufności, integralności, dostępności)
Sprawdzenie zabezpieczeń panelu logowania przed nieupoważnionym dostępem lub próby uzyskania dostępu do panelu administracyjnego za pomocą kont użytkowników o niższych uprawnieniach
Próba typowych ataków dla aplikacji mobilnych (OWASP Mobile TOP 10)
Weryfikacji zabezpieczenia sesji klientów aplikacji
Analiza polityki haseł w aplikacji oraz analiza metod uwierzytelnienia
Próba ominięcia mechanizmów uwierzytelnienia i autoryzacji
Próba przejęcia sesji użytkownika uwierzytelnionego
Próba eskalowania uprawnień w ramach aplikacji
Próba uzyskania bezpośredniego dostępu do infrastruktury hostującej (konteneryzacji, systemu operacyjnego, bazy danych i innych komponentów powiązanych z aplikacją)
Analiza wykorzystywanego przez aplikację szyfrowania przesyłanych danych, pod kątem dostępnych/wykorzystywanych algorytmów
Analiza nagłówków http pod kątem bezpieczeństwa
Badanie mechanizmów ochrony przed wprowadzeniem złośliwego kodu
Analiza mechanizmu obsługi błędów aplikacji pod kątem ujawnienia informacji
Sprawdzenie mechanizmów walidacji danych wejściowych
Weryfikacja mechanizmów ochrony danych
Sprawdzenie mechanizmów ochrony zasobów plikowych: sprawdzenie możliwości podmiany plików na serwerach aplikacyjnych.