Тестване за проникване на уеб приложения


Тестването за проникване на уеб приложения може да използва комбинация от автоматизирани и ръчни методи, за да използва откритите уязвимости, недостатъци в сигурността и нишки в уеб приложения. С други думи, тестването симулира действията на злонамерен хакер чрез методите и инструментите, които той би използвал. Уязвимостите в сигурността могат да бъдат открити във front-end и back-end системи, бази данни, програмен код, механизми за удостоверяване и други. След това тестът открива и приоритизира откритите уязвимости и накрая предоставя възможните опции за отстраняването им. В допълнение тестът за проникване на уеб приложения също така проверява всички комуникационни канали и API.
В случаите, когато е налично и мобилно приложение, може да се наложи и тест за проникване на мобилни приложения.

Методология

  • Запознаване с приложението и цели
  • Събиране на информация
  • Тестване на управлението на конфигурацията и внедряването
  • Тестване на методите за управление на самоличност
  • Тестване на удостоверяване на самоличността
  • Тестване на разрешенията
  • Тестване на управление на сесии
  • Тестване за проверка на въведените данни
  • Обработка на грешки
  • Криптография
  • Тестване на бизнес логиката
  • Тестване от страна на клиента

Сравнение на White Box и Black Box тестване

Black Box тестване

Не се изискват познания за местоположението, структурата или приложението на тествания софтуер.

Gray Box тестване

При Gray Box тестващия се опитва да открие дефекти в защитата с непълна информация за вътрешната структура на кода на софтуерния продукт.

White Box тестване

При тестването White Box се предоставя на тестера информация за структурата и функционалността на приложение, за да се провери то от гледна точка на разработчика.

Доклади

Протоколът за тестване на проникване описва всички дейности, извършени по време на проверката. Затова докладът представя откритите уязвимости в два аспекта:

От гледна точка на управлението

 
  • Общо описание на сигурността на системите.
  • Въздействието, което откритите уязвимости могат да имат върху информационната сигурност.
  • Необходими мерки за сигурност за справяне с проблемите.

От техническа гледна точка

 
  • Дефиниране и класифициране на нивата на риск на откритите уязвимости.
  • Описание на фазата на събиране на информация за запознаване с информационната система.
  • Резултати от сканиране и използване на откритите уязвимости, описание, въздействие, ниво на критичност, засегнат компонент, жива демонстрация, метод за намаляване на риска от уязвимостта и стъпки за отстраняване.

Подробности

  • Вашите разработчици може да са добри в разработването на функционални, бързи и лесно разширяеми приложения, но сигурността е нещо съвсем различно. Тестът за проникване се препоръчва за организация без вътрешен екип за тестване.
  • Тестовете за проникване често се изискват от регулации като PCIDSS, HIPAA / HITECH и FINRA.
  • Тестването за проникване на уеб приложения е особено полезно, ако бизнесът ви зависи от вашето приложение, съхранява лични данни на вашите клиенти или предоставя опция за плащания и поръчки.
  • Тестовете за проникване могат да ви помогнат да изпълните техническите изисквания на GDPR.

5 до 30 дни за едно уеб приложение, в зависимост от сложността.

Нашите експерти притежават множество сертификати в сферата, като CEH, OSCP, CCSA и др.

Ако нямате опит, заедно с нашите партньори можем да отстраним вашите уязвимости. Ние не извършваме тази услуга самостоятелно поради конфликт на интереси.

Нашият процес

Обхват

  • Задаване на времева рамка
  • Определяне на обхват

Проучване

  • Пасивно събиране на данни
  • Активно събиране на данни

Сканиране

  • Автоматизирано сканиране
  • Преглед на резултатите
  • Проверка за фалшиви положителни резултати
  • Ръчна проверка на резултатите

Използване

  • Ръчно тестване
  • Използване на уязвимостите

Отчитане

  • Обобщение на информацията
  • Управленски доклад
  • Технически доклад