Testy bezpieczeństwa aplikacji WWW
Aplikacje WWW są bez wątpienia jednym z najważniejszych elementów sieci Internet, jaką znamy. To za ich pomocą firmy kreują w sieci Internet swój wizerunek, dokonują transakcji finansowych, udostępniają sklepy internetowe, udostępniają publicznie treści oraz wykorzystują do rozmaitych celów biznesowych, dla których ilość zastosowań aplikacji WWW wydaje się być nieograniczona.

Aplikacje WWW są również jednymi z najczęściej atakowanych celów obieranych przez intruzów. Według wielu dostępnych statystyk publikowanych przez firmy analityczne, z każdym rokiem rośnie liczba ataków, w tym tych, przeprowadzanych skutecznie. Tym samym rośnie również liczba przedsiębiorstw, które poniosły straty z tytułu kradzieży danych, utraty zaufania klientów czy nadszarpniętego wizerunku.

Usługa

Test bezpieczeństwa aplikacji internetowej jest wyspecjalizowaną usługą, którą rekomendujemy wszystkim przedsiębiorstwom, dla których aplikacje WWW są ważnym elementem biznesu firmy lub których biznes może ucierpieć w przypadku zagrożenia dostępności, integralności lub poufności informacji przetwarzanych przez te aplikacje.

Przeprowadzane przez nas testy bezpieczeństwa są ukierunkowane na wykrycie między innymi następujących luk i podatności testowanych aplikacji na zagrożenia:
  • Luki związane z zastosowaną architekturą aplikacji internetowej
  • Luki wynikające z zastosowanych wzorców projektowych
  • Luki wynikające ze słabości protokołu HTTP i ich wpływu na aplikację
  • Luki związane z zastosowanymi technologiami na poziomie warstwy prezentacji danych
  • Luki związane z zastosowanymi technologiami na poziomie warstwy aplikacji
  • Luki związane z zastosowanym serwerem WWW lub jego niewłaściwą konfiguracją
  • Luki związane z zastosowanym środowiskiem aplikacyjnym lub jego niewłaściwą konfiguracją
  • Luki związane z niewłaściwą konfiguracją zastosowanych elementów PKI
  • Luki związane z niewłaściwą walidacją danych wejściowych
  • Luki związane z zaimplementowanymi mechanizmami uwierzytelniania i autoryzacji
  • Luki związane z błędami w procesie wytwarzania aplikacji
  • Wiele innych
W zależności od celu testu bezpieczeństwa, testy aplikacji WWW wykonujemy z różnych perspektyw:
  • Z perspektywy "zerowej" wiedzy o testowanej aplikacji ("black-box testing")

    Ten typ ataku jest symulacją ataku intruza, który nie dysponuje żadną wiedzą o testowanej aplikacji, najczęściej przypomina on typowy atak z sieci Internet. W tym typie testu, kontrolowane ataki na aplikację WWW są poprzedzone rozbudowaną fazą rozpoznania, w której staramy się zdobyć informacje potrzebne do przeprowadzenia właściwych testów.

  • Z perspektywy częściowej wiedzy o testowanym obiekcie ("gray-box testing")

    Ten rodzaj testu jest symulacją ataku ze strony osoby, która dysponuje częściową wiedzą o architekturze testowanego systemu – np. zna typ i wersje zastosowanych technologii i serwerów aplikacyjnych, strukturę katalogów lub jakie zostałe użyte wzorce projektowe.

  • Z perspektywy pełnej wiedzy o obiekcie ("white-box testing")

    Jest to symulacja ataku ze strony osoby posiadającej pełną wiedzę o aplikacji WWW będącej przedmiotem testu bezpieczeństwa, na przykład ze strony zwolnionego pracownika firmy, który posiadał dostęp do pełnej dokumentacji oraz kodu źródłowego aplikacji. W połączeniu z testem typu „black-box”, ten rodzaj testu jest również praktyczną weryfikacją, na ile informacje o kodzie aplikacji mogą ułatwić potencjalnym intruzom przełamanie zabezpieczeń aplikacji WWW.

  • Wszystkie wykonywane przez naszą firmę testy bazują na działaniach manualnych, a narzędzia automatyczne stosowane są tylko w wybranych częściach testów.

Rezultat usługi

Wynikiem testu bezpieczeństwa aplikacji WWW jest raport zawierający:
  • Streszczenie dla Kierownictwa wyższego szczebla
  • Zakres testu bezpieczeństwa i opis przeprowadzonych działań
  • Listę wykrytych zagrożeń i nieprawidłowości
  • Ocenę wykrytych zagrożeń w uzgodnionej z Klientem skali ocen
  • Propozycje usprawnień mające na celu wyeliminowanie wykrytych zagrożen
© 2010-2012 Prevenity Sp z o.o. Wszelkie prawa zastrzeżone.    O Firmie | Informacje prawne | Kontakt | Mapa Serwisu