Testy penetracyjne aplikacji

Testy penetracyjne aplikacji

cel

Symulacja ataku hakerskiego na aplikacje działające w sieci komputerowej Twojej firmy w celu wykrycia podatności i kradzieży danych lub uzyskania dostępu do serwera.

Aplikacje webowe są obecnie jednym z najpopularniejszych celów ataków cyberprzestępców. Wykorzystanie podatności aplikacji webowej prowadzi najczęściej do kradzieży danych klienta, pozyskania poufnych informacji produktowych oraz utraty ofert i cenników. Bardzo często taki atak kończy się zainfekowaniem systemów użytkowników korzystających z aplikacji, a w części przypadków – do kompromitacji całej sieci wewnętrznej klienta na serwerze, na którym działa aplikacja

Działamy z pasją i doświadczeniem

W ramach testu penetracyjnego aplikacji zaczynamy od sprawdzania jej komponentów, którymi atakujący są najbardziej zainteresowani. Analizujemy odporność na ataki przez wykorzystanie różnego rodzaju nadużyć funkcjonalności aplikacji.

W ramach testu penetracyjnego aplikacji, testujący sprawdzają jej odporność przez wykorzystanie różnego rodzaju nadużycia funkcjonalności oferowanych przez aplikację.

Testowanie aplikacji składa się najczęściej z wielu etapów, m.in.:

mapowanie i identyfikacja wykorzystanych technologii,
ocena bezpieczeństwa aplikacji sieciowych i wykorzystywanych przez nie protokołów,
ocena poziomu filtrowania danych uzyskiwanych od użytkownika,
weryfikacja mechanizmów kryptograficznych,
audyt kodu źródłowego lub audyt plików binarnych.

Rodzaje błędów bezpieczeństwa zależą najczęściej od stosu technologicznego używanego przez testowaną aplikację.

Najpopularniejsze problemy występujące w aplikacjach

przepełnienie bufora (brak sprawdzania wielkości danych),
wywołanie funkcji systemowych z argumentami pochodzącymi spoza aplikacji (remote code execution),
wstrzykiwanie zapytań SQL (brak walidacji danych wprowadzanych z zewnątrz),
m.in.: bezpieczeństwo baz danych, WWW, SMTP, FTP, DNS, DHCP, kontrolery domen i wiele innych.
używanie wskaźników w niebezpieczny sposób,
wykonywanie bloków kodu leżących poza jurysdykcją aplikacji,
wykonywanie kodu po stronie klienta (brak walidacji danych wejściowych),
błędy w logice działania aplikacji (złe warunki brzegowe, błędy zliczania),
błędy w mechanizmach kryptograficznych,
i wiele innych…

Podejścia do testów penetracyjnych

Black-Box

W tej opcji Pentester nie posiada dostępu do kodu źródłowego aplikacji.

White-Box

W przypadku podejścia white-box w kontekście testów aplikacji bardzo często mówi się o audycie kodu, ponieważ oprócz standardowych testów aplikacji, testerom zostaje udzielony dostęp do kodu źródłowego, co pozwala zwiększyć skuteczność testu penetracyjnego, a także dokładnie zweryfikować testowaną funkcjonalność i wykryte podatności.

Grey-Box

To podejście jest hybrydą dwóch poprzednich. W tej opcji otrzymujemy kod do części aplikacji.

Masz pytania?
Chcesz zamówić usługę testów penetracyjnych?
Potrzebujesz więcej informacji?

Skontaktuj się z nami

Czekamy na Twoją wiadomość lub pytania.
home-cybersecurity-contact-bg-image
Sprawdź bezpieczeństwo swojej firmy i zdecyduj się na profesjonalne testy penetracyjne!