Náš tím profesionálov má skúsenosti s testovaním všetkých druhov web aplikácii. Od malých prezentačných webov, e-shopov, CMS, e-commerce, API služieb, Web Services až po internetový banking a robustné veľké portály.

Ponúkame viacero druhov penetračných testov webových aplikácií, ktoré sa líšia rozsahom a hĺbkou vykonaného testu. Po diskusii so zákazníkom odporučíme typ a rozsah vhodného testu pre konkrétnu aplikáciu.

Všeobecný prehľad služby

Cieľom penetračného testu webových aplikácií je odhaliť zraniteľnosti vo webových aplikáciách, demonštrovať zneužitie nájdených chýb, určiť ich riziko a odporučiť riešenia ako eliminovať nájdené zraniteľnosti.

Výsledkom penetračného testu je report, ktorý neobsahuje žiadne "false-positive" nálezy, ale len overené zraniteľnosti.

Penetračný test môže byť vykonaný pomocou metódy BLACK BOX (žiadne informácie o testovanom prostredí), GREY BOX (čiastočné informácie o testovanom prostredí) alebo WHITE BOX (úplne informácie o testovanom prostredí, vrátane zdrojových kódov aplikácie).

Cena penetračného testu záleží od veľkosti a komplexnosti testovanej aplikácie. Táto cena je určená po konzultácii so zákazníkom, v ktorom sa určí rozsah, typ testu a ďalšie požiadavky od zákazníka.

V prípade záujmu vieme test prispôsobiť podľa metodológií/štandardov CWE/SANS Top 25, ASVS, WASC 26 Classes Testing.

 

Štandardný proces penetračných testov

Komunikácia so zákazníkom, určenie typu testu a rozsahu

↓

Vypracovanie cenovej ponuky

↓

Testovanie(začiatok projektu)

↓

Priebežná komunikácia so zákazníkom

↓

Vyhodnotenie testu a vyhotovenie reportu

↓

Prezentácia výsledkov u zákazníka

↓

Retest

↓

Spokojný zákazník

Penetračný test webových aplikácií podľa metodológie OWASP Web Security Testing Guide v4.2

Hĺbkový penetračný test podľa metodológie OWASP Web Security Testing Guide v4.2 je určený pre tých, ktorí chcú komplexne preveriť bezpečnosť svojej aplikácie do detailov. Je vhodný pre veľké projekty, kritické web aplikácie a tam kde je kladený veľký dôraz na bezpečnosť. Test je vykonaný pomocou komerčných a open source nástrojov, skriptov a nástrojov napísaných v rámci firmy.

Penetračný test podľa metodológie OWASP WSTG pozostáva z:

• Information Gathering
• Configuration and Deployment Management Testing
• Identity Management Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Input Validation Testing
• Testing for Error Handling
• Testing for weak Cryptography
• Business Logic Testing
• Client Side Testing
• API Testing

Penetračný test webových aplikácií podľa rebríčka OWASP Top 10 2021

Rebríček OWASP Top 10 obsahuje 10 kategórií zraniteľností, ktoré sa najčastejšie vyskytujú vo webových aplikáciách. Tieto zraniteľnosti sa zvyčajne dajú ľahšie identifikovať a zneužiť. Tieto chyby predstavujú nebezpečenstvo, kedže pomocou nich môže útočník ukradnúť dáta z databázy alebo súborov, získať kontrolu nad používateľským kontom, alebo spustiť svoj (škodlivý) kód s právami webservera.

Penetračný test podľa rebríčka OWASP TOP 2021 pozostáva z:

• A1 - Broken Access Control
• A2 - Cryptographic Failures
• A3 - Injection
• A4 - Insecure Design
• A5 - Security Misconfiguration
• A6 - Vulnerable and Outdated Components
• A7 - Identification and Authentication Failures
• A8 - Software and Data Integrity Failures
• A9 - Security Logging and Monitoring Failures
• A10 - Server-Side Request Forgery

Automatizovaný test

Test je vykonaný pomocou automatizovaných nástrojov (skenerov). Po skončení automatizovaného testu sa manuálne preveria výsledky a odstránia sa false-postive nálezy. Automatizované testy preveria len základnú bezpečnosť a preto sú vhodné len pre web aplikácie, ktoré nie sú kritické z pohľadu biznisu. Tento typ testu slúži ako prevencia pred útokmi neskúsenými útočníkmi (script-kiddies), alebo nástrojmi, ktoré neustále skenujú webové aplikácie na internete a snažia sa zneužiť nájdené zraniteľnosti.

Automatizovaný test s manuálnym testovaním

Test je vykonaný pomocou automatizovaných nástrojov (skenerov). Po skončení automatizovaného testu sa manuálne preveria výsledky a odstránia sa false-postive nálezy. Na rozdiel od "Automatizovaného testu" je to len prvá fáza testu. V druhej fáze testu sa hľadajú (manuálne) zraniteľnosti z rebríčka OWASP TOP10 2021 v limitovanom časovom horizonte, podľa veľkosti aplikácie. Tento typ testu slúži ako prevencia pred útokmi neskúsenými útočníkmi (script-kiddies) až mierne skúsenými útočníkmi, alebo nástrojmi, ktoré neustále skenujú webové aplikácie na internete a snažia sa zneužiť nájdene zraniteľnosti. Tento test je vhodný pre nekritické web aplikácie.

Mikrotest (Bleskový) test

Jedná sa o rýchly a časovo obmedzený test v rozsahu niekoľko hodín až dní, pričom záleží od veľkosti a funkcionality aplikácie. Počas penetračného testu sa hľadajú zraniteľnosti z rebríčka OWASP TOP10 2021 - spôsobom "nájdi čo naviac zraniteľností za krátky čas". Cieľom testu je rýchle zhodnotenie bezpečnosti aplikácie.

Dlhodobý test (Doplnková služba)

Keďže sa neustále objavujú nové vektory útokov, zraniteľnosti a nové techniky obchádzania zabezpečenia, ponúkame po skončení penetračného testu doplnkovú službu "dlhodobý test". Dlhodobý test pozostáva z krátkodobého intenzívneho testu (napríklad jeden deň) vykonávaného každý mesiac počas trvania služby.