Penetrační testování webových aplikací

Testování webových aplikací začíná seznámením se se specifickými požadavky konkrétního klienta. Při testování se během přidělené časové dotace identifikují všechny zranitelnosti, zadokumentuje se způsob zneužití jednotlivých nalezených zranitelností a způsob získání neoprávněného uživatelského nebo administrátorského přístupu na server.

Co nabízíme

V závislosti na stanovených cílech nabízíme celkem tři možnosti penetračního testování aplikací. Všechny možnosti s Vámi budeme konzultovat, abychom našli a vybrali variantu vhodnou právě pro Vás.

Black box – zadavatel poskytuje pouze URL adresu webové aplikace. Tester mapuje testované prostředí stejnými metodami, které by byl nucen použít útočník bez vazby na organizaci klienta.

White box – zadavatel poskytuje veškerou dokumentaci k testované webové aplikaci, zdrojový kód a účet s administrátorskými právy. Tento přístup dokáže zefektivnit vývoj kvalitně zabezpečené aplikace. Umožňuje odhalit hlubší problémy: nebezpečné řetězce dílčích zranitelností a chyby v logice aplikace.

Grey box – kompromisní přístup, který oproti black boxu umožňuje penetrační testování provést rychleji a do větší hloubky. V tomto případě doporučíme dle povahy testované aplikace, jaký typ informací by měl klient poskytnout.

Výhody

  • Automatizované testování a skenování za použití komerčních a open-source nástrojů
  • Manuální testování výstupů zjištěných při automatizovaném testování
  • Detailní testování standardně dle metodologie OWASP
  • Výčet zranitelností klasifikovaných dle rizikovosti
  • Detailní popis zranitelností
  • Detailně zadokumentovaný postup možného zneužití identifikovaných zranitelností doplněný snímky obrazovky
  • Kompletní zdrojové kódy použitých skriptů a všechny použité příkazy, aby bylo možné veškeré kroky zopakovat
  • Detailní instrukce pro vaše IT oddělení k provedení změn a oprav, které doporučujeme provést, aby byla odstraněna bezpečnostní rizika

Pokud máte zájem o cenovou nabídku, kontaktujte nás. Pro odhadnutí celkové ceny bude sjednán online meeting.