Penetrační testování webových aplikací

Webové aplikace jsou potřebné pro obsluhu mnoha procesů. Jejich rozšíření je velkou výhodou, ale také s sebou nese značná bezpečnostní rizika. Dnes webové aplikace zpracovávají velké množství dat, a navíc jsou napojeny na další interní systémy, proto je potřeba dbát na jejich zabezpečení. Jejich poškození nebo kolaps může zcela ochromit chod organizace.

Webové aplikace jsou z internetu přístupné komukoli, proto je potřeba důkladně a opakovaně kontrolovat jejich zabezpečení. Metody a nástroje používané při penetračním testování webových aplikací simulují reálný útok, díky tomu získáte jasnou představu o zabezpečení webových aplikací ve vaší firmě.

Identifikujeme zranitelnost v zabezpečení a logice aplikace

Zrevidujeme zdrojový kód aplikace

Analyzujeme možnosti zneužití zabezpečení

Navrhneme konkrétní řešení minimalizující riziko dalšího útoku

Absolvováním penetračního testu bude webová aplikace v souladu s bezpečnostními požadavky standardu ISO 27001 a zákonu o kybernetické bezpečnosti. Otestováním posílíte svou důvěryhodnost, zejména v očích zahraničních partnerů, ale i seriózních českých společností. Představuje zásadní kritérium při výběru dodavatele.

Proč je penetrační testování webových aplikací tak přínosné?

Protože na konci dostanete podrobnou zprávu, která detailně popisuje vaši úroveň zabezpečení webových aplikací. Ukáže vám, jaká by byla vaše reálná šance při kybernetickém útoku obstát. Penetrační test je postaven na praktických možnostech zneužití, simuluje reálný útok, a to všemi prostředky. Závěrečná zpráva vám ukáže všechny slabiny webové aplikace, a to spolu se zdokumentovanými postupy, zdrojovými kódy a příkazy, které byly při útoku použity. Nakonec vám doporučíme, co byste měli změnit, jak lépe webovou aplikaci zabezpečit.

Při penetračním testu webových aplikací postupujeme podle vlastní velice komplexní metodiky, která je odvozena od celosvětově uznávané metodiky organizace OWASP Foundation.

Proč EO SECURITY?

Jsme nezávislá společnost plná odborníků. Od roku 2016 působíme v oborech ofenzivní IT bezpečnosti a ochrany informací. Neustále se vzděláváme a sbíráme nové zkušenosti, náš tým expertů vám poskytne komplexní služby od analýzy a testování vašeho zabezpečení až po návrh vylepšení a jeho samotnou realizaci.

Jsme držiteli prestižních průmyslových bezpečnostních certifikací

TUV SUD

Penetrační testování vyvíjených webových aplikací

Penetrační testy doporučujeme integrovat už do vývojového cyklu připravované webové aplikace. Stejně zásadní roli hraje penetrační testování každé vydané aktualizace. Testováním v průběhu vývoje lze dosáhnout obrovské úspory času a prostředků, které by jinak musely být vynaloženy na odstraňování bezpečnostních chyb až po spuštění aplikace. Odhalené problémy velmi často vyžadují zásadní a dodatečně neproveditelné změny v architektuře aplikace, proto by bylo nutné některé části aplikace vybudovat znovu od nuly.

Penetračním testováním během vývoje webové aplikace také předejdete riziku zneužití chyb v zabezpečení a kompromitace reálných dat v době, kdy už aplikace běží, ale dosud nebyla prověřena penetračním testem. V rámci implementace zásad bezpečného vývoje vám rádi nabídneme pomoc v podobě konzultace.

Penetrační testování provozovaných webových aplikací

Ostrý provoz webové aplikace, která bude pracovat s reálnými daty, vystavuje provozovatele vysokému riziku. Níže popisujeme nejčastěji v praxi využívané metody útoku na webové aplikace. Jejich rozšířenost je samozřejmě dána vysokou četností výskytu zneužívaných zranitelností v současných webových aplikacích. V případě prolomení zabezpečení může dojít k výpadku fungování aplikace či ke kompromitaci citlivých dat.

Útok představuje (v závislosti na míře kritičnosti aplikace) zejména provozní a přidružené ztráty, smluvní pokuty a riziko poškození dobrého jména organizace. Ovšem v horším případě mohou následovat navíc právní sankce vyplývající z porušení povinností stanovených nařízením GDPR. Provedením penetračního testování vašich webových aplikací získáte možnost těmto problémům aktivně předejít.

Průběh a metodika penetračního testování webových aplikací

Níže uvádíme modelový příklad průběhu naší spolupráce poté, co odešlete poptávku penetračního testování webové aplikace. Výčet konkrétních technik a používaných nástrojů, stejně tak časové náročnosti jednotlivých úkonů vám rádi detailně zpracujeme do cenové nabídky.

Definice subjektu a pravidel penetračního testu

Naše spolupráce začíná společnou definicí předmětů, cílů a mantinelů penetračního testování. Test může být zacílený na konkrétní služby aplikace (platební brána, komunikační rozhraní, služba pro upload uživatelských souborů apod.), nebo na aplikaci jako funkční celek.

Dále se dohodneme na povolených a zakázaných metodách testování, respektive povolených aktivitách v testovaných systémech. Zejména při testování webových aplikací nasazených v ostrém provozu je zásadní určit i to, nakolik smí testování omezit běh aplikace (zatížení aplikace, případné pády serveru apod.)

V neposlední řadě definujeme rozsah informací, které od vás coby zadavatele o testované aplikaci získáme. Penetrační testování (nejen) webových aplikací lze realizovat jedním ze tří přístupů.

  • Black box– zadavatel poskytuje pouze URL adresu webové aplikace. Tester mapuje testované prostředí stejnými metodami, které by byl nucen použít útočník bez vazby na vaši organizaci. Časově náročnější přístup, avšak s přidanou hodnotou v podobě získání výčtu potenciálně zneužitelných informací o testovaném prostředí, které lze získat z internetu. Při nízké časové dotaci a omezeném rozpočtu dochází k zásadnímu snížení hloubky testování.
  • White box– zadavatel poskytuje veškerou dokumentaci k testované webové aplikaci, zdrojový kód a účet s administrátorskými právy. Rovněž časově náročný přístup, který však dokáže zefektivnit vývoj kvalitně zabezpečené aplikace. Umožňuje odhalit hlubší problémy: nebezpečné řetězce dílčích zranitelností a chyby v logice aplikace.
  • Grey box– kompromisní přístup, který umožňuje penetrační testování urychlit a prohloubit oproti přístupu black boxu. V tomto případě dle povahy testované aplikace doporučíme, jaké informace by měl zadavatel poskytnout pro dosažení co nejlepší efektivity.

Na základě výše uvedených požadavků připravíme podrobnou metodiku testu, časový plán penetračního testování a rozvrh reportingu. Uvedený dokument obsahuje také nezbytnou autorizaci k provedení útoku na webovou aplikaci, kterou je před zahájením testu nutné stvrdit podpisem oprávněné osoby.

Průběh penetračního testu webové aplikace

V přípravné fázi penetračního testu probíhá sběr informací o testovaném prostředí. Realizujeme ho velmi efektivním skenováním zranitelností s využitím automatických a poloautomatických skenerů. V tomto kroku získáme přehledové informace v následujících oblastech.

  • Operačním systému serveru, serverových technologiích, dostupných aplikacích a jejich verzích.
  • Použitém šifrování transportní vrstvy a souborových adresářích, autentizačních mechanismech.
  • Funkcionalitě a logice aplikace a mechanismech, které ke svému fungování využívá.

Následně jsou nálezy manuálně prověřovány, aby bylo možno vyloučit falešnou pozitivitu. Relevantní zranitelnosti dále rozvíjíme ručně prováděnými testy. Získané informace jsou následně průběžně zpřesňovány ve směru postupujících pokusů o penetraci webové aplikace.

Pokusy o průnik zabezpečením webové aplikace

Druhá fáze penetračního testu webové aplikace se odvíjí od zranitelností zjištěných v předchozí fázi, stále ale plně využívá rámce naší metodiky tak, aby nedošlo k opomenutí žádné z potenciálních hrozeb. Každý z kroků je důkladně dokumentován (snímky obrazovky a použité příkazy). Používáme následující metody penetračního testování webové aplikace.

  • Manuální testování všech požadavků a odpovědí mezi prohlížečem a cílovou aplikací.
  • Manipulace se server-side a client-side komponenty aplikace.
  • Manipulace s parametry dotazů s cílem přečíst chráněná data z databází (využití SQL).
  • Útoky pomocí Cross-site Request Forgery (CSRF).
  • Využití Cross-site Scriptingu (XSS) k převzetí kontroly nad klientskou částí aplikace.
  • Obejití sanitizace souborů při nahrátí k distribuci malwaru na server, například s cílem získat neoprávněný přístup k adresářům a souborům.
  • Zneužití slabých procesů pro obnovu hesel, stále aktivní výchozí a testovací účty.
  • Vyhledávání nechráněných souborů, nešifrovaných záloh.

Vystavení závěrečné zprávy a následná spolupráce

Kompletní dokumentaci účinně využitých technik naleznete v reportu z penetračního testu. Ten obsahuje následující.

  • Výčet nálezů klasifikovaných dle rizikovosti
  • Detailní popis nálezu
  • Snímky obrazovky krok za krokem zaznamenaný postup vedoucí k zneužití zranitelnosti
  • Kompletní zdrojové kódy a použité příkazy
  • Detailní instrukce pro vaše IT oddělení k provedení změn a oprav, které je nutno provést pro odstranění bezpečnostních rizik

Zakládáme si na tom, aby prostředky vynaložené na penetrační testování skutečně přispěly ke zvýšení zabezpečení vaší webové aplikace. Proto vám rádi nabídneme navazující konzultace po zpracování výsledků testování, které je nutno provést v co možná nejkratším čase po testování. Při implementaci doporučených bezpečnostních opatření můžeme spolupracovat s vaším IT týmem. Po realizaci opatření dokážeme provést zkrácené (ověřovací) testy jejich účinnosti.

Naším cílem je, abyste se po skončení celého procesu mohli spolehnout na to, že vaše aplikace obstojí proti útoku.

Zjistěte, jak dobře jsou vaše webové aplikace zabezpečeny. Objednejte si penetrační testování.







    Penetrační testování infrastruktury

    Skenování zranitelností webových aplikací a interní infrastruktury

    Testování pomocí metod sociálního inženýrství

    Testování Wi-Fi sítí

    Konzultace IT bezpečnosti

    Menu