Тестване за проникване на уеб приложение

Обхват

Целта на теста беше да открие уязвимости в сигурността, които биха могли да доведат до интелектуални и финансови загуби за училището и неговите потребители. Тестът беше извършен по техника Gray Box, следвайки методологията на OWASP, като се симулират действията на злонамерен потребител с частични познания относно функционалността на системата. Тествахме платформата, използвайки три акаунта с различен достъп – ученически, родителски и администраторски.

Заключения

Беше постигнат успешен тест за проникване, като бяха открити високи уязвимости в уеб приложението за трите нива за удостоверяване, които се наложи да бъдат отстранени незабавно. Потребителският акаунт имаше счупен механизъм за удостоверяване, а злонамереният потребител беше способен да преглежда функционалностите на администраторския акаунт и да получава потребителска информация с по-високо ниво. Администраторският акаунт можеше да бъде отвлечен поради прекомерното изчакване на сесията и съществуваше вероятност да се компрометира потребителският акаунт чрез грубо принуждаване поради липсваща политика за блокиране на акаунта.

Времева рамка

  • 10 работни дни
  • 7 дни за проникване в уеб приложението
  • 3 дни за откриване и отстраняване на уязвимости
  • Изготвяне на отчет

Изпълнени стъпки

  • Събиране на информация
  • Тестване на конфигурацията и на управлението на внедряването
  • Тестване на управление на самоличността
  • Тестове за удостоверяване и оторизация
  • Тестване на управлението на сесиите
  • Тестване за проверка на входа
  • Обработка на грешки
  • Криптография
  • Тестване на бизнес логика
  • Тестване от страната на клиента