Тестване за проникване на уеб приложение
Обхват
Целта на теста беше да открие уязвимости в сигурността, които биха могли да доведат до интелектуални и финансови загуби за училището и неговите потребители. Тестът беше извършен по техника Gray Box, следвайки методологията на OWASP, като се симулират действията на злонамерен потребител с частични познания относно функционалността на системата. Тествахме платформата, използвайки три акаунта с различен достъп – ученически, родителски и администраторски.
Заключения
Беше постигнат успешен тест за проникване, като бяха открити високи уязвимости в уеб приложението за трите нива за удостоверяване, които се наложи да бъдат отстранени незабавно. Потребителският акаунт имаше счупен механизъм за удостоверяване, а злонамереният потребител беше способен да преглежда функционалностите на администраторския акаунт и да получава потребителска информация с по-високо ниво. Администраторският акаунт можеше да бъде отвлечен поради прекомерното изчакване на сесията и съществуваше вероятност да се компрометира потребителският акаунт чрез грубо принуждаване поради липсваща политика за блокиране на акаунта.
Времева рамка
- 10 работни дни
- 7 дни за проникване в уеб приложението
- 3 дни за откриване и отстраняване на уязвимости
- Изготвяне на отчет
Изпълнени стъпки
- Събиране на информация
- Тестване на конфигурацията и на управлението на внедряването
- Тестване на управление на самоличността
- Тестове за удостоверяване и оторизация
- Тестване на управлението на сесиите
- Тестване за проверка на входа
- Обработка на грешки
- Криптография
- Тестване на бизнес логика
- Тестване от страната на клиента