Webové aplikace

Penetrační testování webových aplikací představuje simulaci útoků na systém s cílem získat přístup k citlivým údajům a zjistit, zda je aplikace bezpečná.

Cílem penetračního testu webových aplikací je odhalit bezpečnostní zranitelnosti vyplývající  z nezabezpečených vývojových postupů při návrhu, kódování a publikování softwaru nebo webových stránek.

Penetrační test webové aplikace obvykle zahrnuje:

  • Testování ověřování uživatelů s cílem ověřit, zda účty nemohou ohrozit data.
  • Posouzení webových aplikací na nedostatky a zranitelnosti, jako je XSS (cross-site scripting).
  • Posouzení bezpečné konfigurace webových prohlížečů a identifikaci funkcí, které mohou způsobit zranitelnosti.
  • Posouzení bezpečnosti webového serveru a databázového serveru.

Penetrační testování - další služby

Testování infrastruktury je penetrační test, který je zaměřen na posouzení zranitelnosti počítačových systémů, síťových zařízení a rozsahů IP adres s cílem identifikovat zranitelnosti, které by mohly být zneužity. Testování by mělo být prováděno jak z vnějšku organizace, tak zevnitř organizace.

Testování infrastruktury lze také využít k testování, zda organizace dodržuje bezpečnostní politiky a jak účinně dokáže reagovat na bezpečnostní hrozby. 

Testování rovněž dokáže poskytnout jistotu, že testované systémy a bezpečnostní kontroly byly nakonfigurovány v souladu s osvědčenými bezpečnostními postupy a že v cílovém systému v době testu nejsou žádné zranitelnosti.  Pokud jsou jakékoliv zranitelnosti nalezeny, je potřeba je odstranit dříve, než dojde k útoku nebo narušení bezpečnosti.
 

Počítačové a bezdrátové sítě

Při penetračním testu počítačových a bezdrátových sítí prověřuje penetrační tester síťové prostředí z hlediska bezpečnostních zranitelností. Síťové penetrační testy lze dále rozdělit do dvou kategorií, a to externí testy a interní testy. 

Při penetračním testu počítačových a bezdrátových sítí se zaměřujeme na následující oblasti:

  • konfigurace brány firewall;
  • testování obcházení brány firewall;
  • analýza stavové inspekce;
  • klamání systému prevence narušení;
  • útoky na úrovni DNS.

Typy penetračního testování

  • Interní penetrační testování

Interní penetrační testování nebo posouzení zranitelností. Provádí se připojením do vaší interní sítě a posouzením interních zařízení nebo rozsahů IP adres sítě z hlediska zranitelnosti.

  • Externí penetrační testování

Externí penetrační testování a hodnocení zranitelností. Obvykle se provádí na dálku a posuzují se externí bezpečnostní služby vystavené internetu.

Začlenění penetračního testování do bezpečnostního programu má několik klíčových výhod:

  • Pomáhá splnit požadavky na předpisy a bezpečnostní zásady. Penetrační testování je v některých odvětvích výslovně vyžadováno a provádění penetračního testování pomáhá tento požadavek splnit a vyhodnocovat stávající bezpečnostní politiky z hlediska případných nedostatků.
  • Pomáhá Vám vyhodnotit Vaši infrastrukturu. Infrastruktura, jako jsou firewally a servery DNS, je veřejně přístupná. Jakékoli změny provedené na infrastruktuře mohou způsobit zranitelnost systému. Penetrační testování pomáhá identifikovat reálné útoky, které by mohly být úspěšné při přístupu do těchto systémů.
  • Identifikuje zranitelnosti. Penetrační testování webových aplikací odhalí mezery v aplikacích nebo zranitelné trasy v infrastruktuře dříve než útočník.

Penetrační testování mobilních aplikací testuje mobilní aplikace/software/mobilní operační systémy z hlediska bezpečnostních zranitelností pomocí manuálních nebo automatizovaných technik analýzy aplikace.

Tyto techniky se používají k identifikaci bezpečnostních chyb, které se mohou v mobilní aplikaci vyskytnout. Účelem penetračního testování je zajistit, aby mobilní aplikace nebyla zranitelná vůči útokům.

Penetrační testování mobilních aplikací je důležitou součástí celkového procesu hodnocení. Zabezpečení mobilních aplikací se stává kritickým prvkem bezpečnosti každé společnosti. V mobilním zařízení jsou také lokálně uložena data. Šifrování dat a autentizace jsou zásadními otázkami bezpečnosti organizací, které mají mobilní aplikace. Mobilní aplikace jsou pro hackery nejlukrativnějším cílem. Důvodem je, že mobilní aplikace používají téměř všichni lidé na této planetě.

 

Statické testování aplikací je často používaný nástroj pro zabezpečení aplikací, který skenuje zdrojový, binární nebo bajtový kód aplikace. 

Jedná se o nástroj pro white-box testing, který identifikuje hlavní příčinu zranitelností a pomáhá odstranit základní bezpečnostní chyby. Řešení statického testování analyzují aplikaci "zevnitř ven" a k provedení kontroly nepotřebují běžící systém.

Statické testování snižuje bezpečnostní rizika v aplikacích tím, že vývojářům poskytuje okamžitou zpětnou vazbu o problémech zanesených do kódu během vývoje. Pomáhá vzdělávat vývojáře v oblasti bezpečnosti během jejich práce a poskytuje jim v reálném čase přístup k doporučením a navigaci po řádcích kódu, což umožňuje rychlejší odhalování zranitelností a společný audit. Vývojáři tak mohou vytvářet více kódu, který je méně náchylný ke kompromitaci, což vede k většímu zabezpečení aplikace.

Dynamické testování bezpečnosti je proces analýzy aplikace prostřednictvím front-endu s cílem najít zranitelnosti pomocí simulovaných útoků. Tento typ přístupu testuje aplikaci "zvenčí", a to tak, že na aplikaci zaútočí stejně, jako by to udělal zlomyslný uživatel. 

Poté, co skener tyto útoky provede, hledá výsledky, které nejsou součástí očekávané sady výsledků a identifikuje bezpečnostní zranitelnosti.

Dynamické testování aplikací je důležité, protože vývojáři se při vytváření aplikací nemusí spoléhat pouze na své vlastní znalosti. Prováděním dynamického testování během vývoje můžete zachytit zranitelnosti aplikace ještě před jejím nasazením na veřejnost. Pokud tyto zranitelnosti nebudou odstraněny a aplikace bude takto nasazena, může to vést k úniku dat, což může mít za následek velké finanční ztráty a poškození pověsti vaší značky. V určitém bodě životního cyklu vývoje softwaru bude nevyhnutelně hrát roli lidská chyba, a čím dříve je zranitelnost během vývoje zachycena, tím levnější je její oprava.

 

Hlavní kontaktní osoby

Martin Hořický

Martin Hořický

Partner • Digital Services
View bio

Články týkající se Digital