Testy penetracyjne aplikacji
Testy penetracyjne aplikacji
cel
Aplikacje webowe są obecnie jednym z najpopularniejszych celów ataków cyberprzestępców. Wykorzystanie podatności aplikacji webowej prowadzi najczęściej do kradzieży danych klienta, pozyskania poufnych informacji produktowych oraz utraty ofert i cenników. Bardzo często taki atak kończy się zainfekowaniem systemów użytkowników korzystających z aplikacji, a w części przypadków – do kompromitacji całej sieci wewnętrznej klienta na serwerze, na którym działa aplikacja
Działamy z pasją i doświadczeniem
W ramach testu penetracyjnego aplikacji zaczynamy od sprawdzania jej komponentów, którymi atakujący są najbardziej zainteresowani. Analizujemy odporność na ataki przez wykorzystanie różnego rodzaju nadużyć funkcjonalności aplikacji.
W ramach testu penetracyjnego aplikacji, testujący sprawdzają jej odporność przez wykorzystanie różnego rodzaju nadużycia funkcjonalności oferowanych przez aplikację.
Testowanie aplikacji składa się najczęściej z wielu etapów, m.in.:
mapowanie i identyfikacja wykorzystanych technologii,
ocena bezpieczeństwa aplikacji sieciowych i wykorzystywanych przez nie protokołów,
ocena poziomu filtrowania danych uzyskiwanych od użytkownika,
weryfikacja mechanizmów kryptograficznych,
audyt kodu źródłowego lub audyt plików binarnych.
Rodzaje błędów bezpieczeństwa zależą najczęściej od stosu technologicznego używanego przez testowaną aplikację.
Najpopularniejsze problemy występujące w aplikacjach
przepełnienie bufora (brak sprawdzania wielkości danych),
wywołanie funkcji systemowych z argumentami pochodzącymi spoza aplikacji (remote code execution),
wstrzykiwanie zapytań SQL (brak walidacji danych wprowadzanych z zewnątrz),
używanie wskaźników w niebezpieczny sposób,
wykonywanie bloków kodu leżących poza jurysdykcją aplikacji,
wykonywanie kodu po stronie klienta (brak walidacji danych wejściowych),
błędy w logice działania aplikacji (złe warunki brzegowe, błędy zliczania),
błędy w mechanizmach kryptograficznych,
i wiele innych…
Podejścia do testów penetracyjnych
Black-Box
White-Box
Grey-Box
Masz pytania?
Chcesz zamówić usługę testów penetracyjnych?
Potrzebujesz więcej informacji?
Skontaktuj się z nami
