Penetrační testy a prověrky frontendových aplikací
Efektivita hackerských útoků je závislá na odolnosti napadeného systému. Napadení frontendových aplikací (nejčastěji webových aplikací s tenkým klientem) je jednou z nejčastějších forem krádeže informací. Současné metody hackingu často nevyžadují nikterak vysoké znalosti k napadení těchto systémů. Přitom právě frontendové aplikace, které nezřídka umožňují přístup k nejcitlivějším informacím organizace a zajišťují životně důležité business procesy, bývají “trnem v oku“ konkurence.
Hlavním předmětem bezpečnostní prověrky je zhodnocení aplikace z pohledu spolehlivosti, zajištění integrity, autentizace a důvěrnosti dat. Bezpečnostní prověrky frontendových aplikací představují ověření míry odolnosti frontendové aplikace vůči napadení. Naše aplikační prověrky vycházejí především z dlouholetých zkušeností týmu našich specialistů, uznávaných metodik (mj. OWASP, OSSTMM a další), “BEST PRACTICES“ a uznávaných norem a doporučení jako jsou Common Criteria (vydaná také jako norma ISO/IEC 15408).
V rámci bezpečnostní prověrky frontend aplikace mohou být provedeny kroky, jako je např. pasivní testování, prověrka zabezpečení implementované technologie, prověrka datového toku, prověrka zabezpečení komunikace, detekce nejčastějších zranitelností dle OWASP (např. Cross Site Scripting, Injection Flaws, Malicious File Execution, Insecure Direct Object Reference a další), zátěžové testy, případně další.
Penetrační testy a prověrky frontendových aplikací lze provést nejprve bez přidělených přístupových práv a následně se znalostí uživatele (s přiděleným přístupovým oprávněním), čímž jsou ověřeny jak možnosti případného útoku z pozice externího útočníka, tak i z pozice např. vlastního zaměstnance.
Cílové aplikace jsou podrobeny testům s využitím skenerů zranitelností (vlastních, komerčních i nekomerčních) a manuálního testování. Za účelem důkladného ověření zranitelností se používá více různých skenerů (včetně vlastních nástrojů). Nalezené zranitelnosti jsou následně ověřeny ručním testováním. Pokud je to vyžadováno, jsou nalezené zranitelnosti ověřovány do úrovně jejich zneužití (exploitace).
Všechny nalezené nedostatky jsou podrobně popsány ve zprávě z testů/prověrky. Jsou zde popsána i rizika z těchto zranitelností vyplývající a nechybí samozřejmě i návrhy na jejich odstranění (případně minimalizaci rizika).
Penetrační testy a prověrky frontendových aplikací přinášejí nezkreslený stav aplikace z pohledu bezpečnosti a jejích schopnosti odolávat různým technikám napadení. Eliminují tak riziko ztráty informací, klientů, důvěry a dobrého jména společnosti.
Materiály ke stažení:
Kontakt
Kontaktní osoba pro další informace nebo cenovou nabídku:
Hana Vystavělová
E-mailové adresy v AEC jsou ve tvaru: jmeno.prijmeni@aec.cz
