Penetrační testování webových aplikací

Penetrační testování webových aplikací slouží k identifikaci slabých míst v rámci webové aplikace, které by mohly být potenciální bránou úniku dat a napadení systému ze strany hackerů.

Při penetračním testování aplikací zkoumáme možnosti kompromitace, prolomení bezpečnostních opatření nebo snížení jejich účinnosti. Aplikaci podrobujeme simulacím útoků reálného útočníka – identifikujeme slabá místa, která je možné exploitovat, ty exploitujeme a následně formulujeme doporučení k nápravě.

Proč provádět penetrační testování webové aplikace?

Díky pentestům zjistíte, kde je třeba provést zabezpečení a jakým způsobem. Budete mít jistotu, že vaše aplikace je dostatečně chráněna proti napadení ze strany hackerů. V podnikání budete mít jistotu bezpečnostního štítu před hrozbou paralýzy systému, kompromitace dat, rizikem poškození značky a souvisejících nákladů.

Nezabezpečené webové aplikace mohou potenciálně umožnit útočníkovi získat neoprávněný přístup, ohrozit funkčnost aplikace nebo ukrást citlivá uživatelská data – co v konečném důsledku ovlivní vaše podnikání nejen v podobě ztráty příjmů, pokut a právních sankcí, ale také v podobě škody na jméně a ztráty důvěry s klienty.

Ofenzivní kybernetická bezpečnost

Penetrační testy jsou časově i finančně náročnější než jednodušší a levnější skeny zranitelností. Díky pentestům jsme schopni komplexně zhodnotit zabezpečení aplikace, testováním vyhovíte normě ISO 27001.

Co můžete očekávat od pentestů:

  • Získání informací o aktuálním stavu zabezpečení webové aplikace
  • Hloubkové testování stejnými technikami, které by byly použité při reálném útoku
  • Identifikace všech zranitelností webové aplikace
  • Díky provedeným penetračním testům budete vědět kam do budoucna lépe alokovat prostředky na kyber bezpečnost aplikace
  • Dosažení souladu s ISO 27001 a splnění požadavků dle zákona o kybernetické bezpečnosti

Certifikáty

Naši bezpečnostní experti jsou držiteli prestižních průmyslových certifikací v oblasti kybernetické bezpečnosti.

Penetrační testování provádíme dle vlastních metodik odvozených od OWASP a OSSTMM.

Výsledek penetračního testování

Po ukončení penetračního testování dostanete podrobnou zprávu o stavu zabezpečení vaší aplikace proti napadení útočníky. V reportu naleznete soupis všech slabých míst, metody simulovaného útoku a podrobné doporučení k nápravě.

  • Seznam zjištěných zranitelností, nedostatků a chyb, nastavení ochranných prostředků s podrobným popisem příčin výskytu, pravděpodobnosti a následků provozu, hodnocením kritičnosti, doporučení k odstranění.
  • Popis metod a scénářů útoků s potvrzením úspěšnosti jejich provádění a dosažených výsledků.
  • Plán akcí k odstranění zjištěných zranitelných míst, včetně provedení změn organizačních opatření, provedení změn softwaru, instalace nezbytných aktualizací, změny nastavení použitých ochranných nástrojů nebo uvedení dalších do provozu.

Metody analýzy

Během statické analýzy se zaměřujeme na kontrolu zdrojového kódu, a to manuálně, automatizovaně nebo kombinací těchto dvou technik.

Ruční kontrola zdrojového kódu

Výhodou manuální kontroly je fakt, že jsme schopni identifikovat další slabiny zabezpečení ve zdrojovém kódu aplikace, které by automatizovaný nástroj běžně neodhalil.

Typickým příkladem jsou chyby v logice. Logické chyby zabezpečení se objevují v kritických funkcích, včetně obchodní logiky, šifrování, síťové komunikace a řízení přístupu.

Manuální kontrolou zdrojového kódu ověříme bezpečnost aplikace a odhalíme nedostatky, které mohly být přehlédnuty v počáteční fázi vývoje. Tato slabá místa mohou způsobit to, že vaše aplikace bude zranitelná k útokům.

Časté dotazy

Kdy realizovat penetrační testování?

Obvykle penetrační testy webových aplikací provádíme před uvedením do provozu. Poté je doporučujeme opakovat po každé aktualizaci.

Kontrola kódu ještě před vydáním aplikace může výrazně zkrátit čas a minimalizovat zdroje, které by jinak bylo nutné investovat, kdyby zranitelnosti byly zjištěny až po nasazení aplikace do provozu. Implementace revize zdrojového kódu spolu s osvědčenými postupy bezpečného kódování v rámci vývojového procesu je proto důležitá pro zajištění bezpečnosti vaší aplikace.

Kdy je nejméně vhodná doba na penetrační testování?

Bezprostředně před zprovozněním aplikace, pokud se test dělá jen pro to, aby byl projekt v souladu s platnými předpisy. Tehdy může být pro vás pentest více stresující než v předchozích fázích projektu.

Pokud jste dříve neprovedli žádné bezpečností kontroly, pentest může odhalit kritické zranitelnosti projektu, které bude potřeba opravit. Tyto skutečnosti mohou vést k posunutí termínu spuštění aplikace. V nejhorším případě by se část aplikace musela vyvíjet znovu. Proto je ideální zajistit bezpečnostní audit s předstihem.

Kolik stojí penetrační testování?

Výdaje na penetrační testy se pohybují v rozmezí od jednoho do několika desítek MD (man day). O ceně rozhodují dva faktory: kritičnost a složitost systémů.

Čím složitější a kritičtější jsou data aplikace, se kterými se pracuje (např. objednávkový formulář vs. data finančních transakcí), tím bude projekt časově náročnější.

Jaké penetrační testování vybrat?

Během penetračního testu je penetračnímu testerovi k dispozici stanovené množství informací o systémech.

Rozsah dostupných informací se různí – od žádných informací (tzv. Black box test) až po kompletní dokumentaci včetně účtů správce s příslušnými přístupovými právy (tzv. White box test). Vše mezi těmito dvěma přístupy se nazývá Greybox test.

Máte zájem o penetrační testování webové aplikace?

V případě zájmu o penetrační testování aplikace nás kontaktujte na e-mailu office@eo-security.com

Uveďte prosím:

  • Jméno a pozici ve firmě
  • Telefonní kontakt
  • Název firmy
  • Stručný popis toho, co poptáváte

Penetrační testování infrastruktury

Skenování zranitelností webových aplikací a interní infrastruktury

Testování pomocí metod sociálního inženýrství

Testování Wi-Fi sítí

Konzultace IT bezpečnosti

Menu