TESTY PENETRACYJNE
dostęp do sieci naraża twoją firmę na potencjalne ataki
Jeżeli Twoja firma posiada stronę internetową, sklep internetowy lub innego typu aplikację webową, jesteś narażony na potencjalne ataki.
Przy wykorzystaniu istniejących błędów oraz nieaktualnych komponentów, takich jak np. pluginy, atakujący może uzyskać dostęp do wrażliwych danych przedsiębiorstwa, danych klientów czy też podmienić zawartość twojej strony internetowej.
Przeprowadzając testy bezpieczeństwa będziesz mógł w porę naprawić wrażliwe na atak elementy oraz unikniesz strat materialnych oraz wizerunkowych, które są bardzo trudne do odbudowania.
METODYKA NASZYCH testów bezpieczeństwa
Oferujemy testy penetracyjne aplikacji webowych zgodnie z popularną metodyką OWASP (Open Web Application Security Project), z uwzględnieniem zapisów zaktualizowanego dokumentu „OWASP Top 10”, Web Security Testing Guide (WSTG) oraz OWASP Application Security Verification Standard (ASVS), a także zgodnie z metodyką OSSTMM.
Przeprowadzamy testy bezpieczeństwa w sposób dostosowany do indywidualnych potrzeb twojej firmy. Większość testów przeprowadzana jest, przez naszych ekspertów cyberbezpieczeństwa, manualnie, tak aby zapewnić wykrywalność błędów i podatności niewykrywanych przez automatyczne rozwiązania.
przebieg przykładowego testu penetracyjnego aplikacji webowej:
PLANOWANIE I PRZYGOTOWANIE
-określenie wymagań oraz ramowego zakresu testu bezpieczeństwa (tzw. „scope”) z uwzględnieniem obszarów wykluczonych
ZBIERANIE INFORMACJI (SKANOWANIE) I ANALIZA (OSINT – Open Source Intelligence)
-manualne i zautomatyzowane techniki OSINT
-Google Dorking (Hacking)
-wykorzystanie skanerów sieciowych typu: Shodan,Censys itp.
WYKRYCIE I WYKORZYSTANIE (ZGŁOSZENIE) PODATNOŚCI
przeprowadzenie testów pod kątem klas podatności OWASP Top 10:
-Broken Access Control
-Injection (XSS, SQL Injection)
-Insecure Design (logika biznesowa)
-Security Misconfiguration (XXE)
-Vulnerable and Outdated Components
-Identification and Authentication Failures
-Server-Side Request Forgery (SSRF)
RAPORT Z PRZEPROWADZONEGO TESTU i OMÓWIENIE
-wykryte błędy i podatności
-metody ich wykorzystania w czasie ataku
-sposoby naprawy wykrytych luk bezpieczeństwa
-zalecenia dotyczące przeciwdziałaniu przyszłym atakom
