Dlaczego warto przeprowadzić testy stron i aplikacji internetowych?
Strony internetowe i aplikacje są częstym celem ataków hackerskich. Mogą być one zlecone przez nieuczciwą konkurencję, ale też zawiedzionego partnera czy pracownika, a nawet dokonane „dla zabawy” przez młodocianych pasjonatów IT, którzy nie zdają sobie sprawy z konsekwencji swoich działań.
Niezależnie od tego, czy korzystasz z indywidualnych rozwiązań, czy też z systemów typu open-source, ich bezpieczeństwo zależy również od Ciebie
Jeżeli strona lub aplikacja jest zintegrowana z systemem wewnętrznym np. ERP, dodatkowym ryzykiem jest utrata danych, know-how oraz zainfekowanie sieci LAN i innych systemów oraz komputerów czy urządzeń, które się w niej znajdują.
Co dostanę po testach?
Po testach dostaniesz raport ze zidentyfikowanymi obszarami do poprawy bezpieczeństwa. Wszystkie znalezione luki będą oznaczone poziomem ryzyka (wg. Common Vulnerability Scoring System – CVSS) i oznaczone w najpopularniejszych standardach (OVAL, CVE). Raport będzie też zawierał listę zgłoszeń gwarancyjnych do istniejących dostawców, jeżeli zostaną one zidentyfikowane.
CyberClue nie zostawia Cię z samym raportem. Możemy również pomóc we wprowadzeniu wszystkich koniecznych poprawek i zmian.
Wszystkie opcje prowadzą do strat wizerunkowych, a dodatkowo mogą spowodować straty finansowe zarówno dla Twojej firmy, jak i dla Twoich klientów.
- Przejęcie systemów wystawionych do Internetu, a połączonych z siecią LAN
- Przeniknięcie dalej do sieci wewnętrznej przez takie systemy
- Atak na aplikacje webowe udostępnione do klientów
- Kradzież danych
Testy są wykonywane przez certyfikowanych specjalistów CyberClue polegają na próbie przeprowadzenia kontrolowanego, bezpiecznego dla klienta, ale realnego ataku na serwis czy aplikację webową. Celem jest określenie poziomu ich bezpieczeństwa, wykrycie podatności (luk, które mogą wykorzystać cyberprzestępcy) oraz określeniu działań naprawczych, zwiększających bezpieczeństwo.
Zakres, dokładny czas i dopuszczalne działania są szczegółowo omawiane i definiowane z klientem, aby zapewnić ciągłość działań biznesowych i bezpieczeństwo w całym procesie.
Testy wykonujemy bazując na różnych metodykach OWASP, OSSTMM oraz NIST, rozszerzonych o elementy wypracowane przez naszych ekspertów.
Testy bezpieczeństwa serwisów i aplikacji wstawionych do Internetu, w zależności od potrzeb, obejmują:
- Weryfikację konfiguracji serwera www
- Weryfikację kodu źródłowego
- Sprawdzenie bezpieczeństwa systemów CMS
- Recenzję architektury logicznej
- Zastosowanie techniki Google Hacking
- Weryfikację konfiguracji serwera www: zwracane nagłówki, używane technologie wraz z wersjami, dostępne katalogi
- Próby enumeracji i przełamania zabezpieczeń kont użytkowników – badanie losowości ID sesji, próba detekcji składni nazywania cookie sesyjnego, sprawdzenie bezpieczeństwa budowy formularza logowania
- Weryfikację poziomu zabezpieczeń SSL/TLS
- Detekcję błędów aplikacyjnych (SQL, XSS, CSFR)
- Próbę wykonania wrogiego kodu na serwerze
- Próbę kradzieży danych
- Sprawdzenie możliwości dostępu do ważnych danych bez szyfrowania
- Sprawdzenie możliwości dojścia do kodów źródłowych wykorzystywanego oprogramowania
- Sprawdzenie możliwości niekontrolowanego dostępu do plików oraz katalogów (Path Traversal)
- Sprawdzenie występowania otwartych przekierowywań (Open Redirection)
- Sprawdzenie możliwości „wstrzyknięcia” i otwierania zewnętrznych plików za pomocą adresu URL (File Inclusion)
- Sprawdzenie występowania podatności typu Response Splitting