Penetračné testy aplikácií

Testy bezpečnosti aplikácií a internetových služieb

Penetračné testy webových aplikácií, desktop aplikácií, mobilných aplikácií a služieb

Realizujeme automatizované aj manuálne penetračné testy aplikácií s cieľom odhaliť zraniteľnosti a preveriť úroveň ich zabezpečenia voči neštandardným akciám používateľa. Týmto spôsobom je možné eliminovať prienik do internej infraštruktúry a stratiť citlivé dáta, či odhaliť chyby v aplikačnej logike.

Sú vaše aplikácie a poskytované internetové služby adekvátne a dostatočne bezpečné?

Vykonávame testy

• Penetračné testy webových aplikácií

• Penetračné testy desktop aplikácií

• Penetračné testy mobilných aplikácií

Penetračný test webovej aplikácie

Cieľom penetračného testu webovej aplikácie a súvisiacich služieb je neštandardnými akciami používateľa demonštrovať zraniteľnosti, ktorými je možné realizovať prienik do internej infraštruktúry zadávateľa, získať citlivé dáta, či upozorniť na chyby v aplikačnej logike testovanej aplikácie. Test je vykonávaný spravidla v režime black-box, teda len so znalosťou webovej adresy aplikácie.

  • Kontrola nastavenia bezpečnej komunikácie https, ssl
  • Náchylnosť webovej aplikácie k DoS / DDoS útokom
  • Chyby aplikačnej logiky výpočty, náhodné chyby, straty dát
  • Možnosť zneužitia aplikácie neautorizovaným spôsobom
  • Získanie citlivých informácií z testovanej aplikácie
  • Zneužitie komponentov so známymi zraniteľnosťami
  • Pokus o získanie prihlasovacích údajov registrovaného používateľa
  • Testy podpornej infraštruktúry a jej bezpečná integrácia

Penetračný test desktop aplikácie

Cieľom penetračného testu desktop aplikácie (typu tučný klient) je neštandardnými akciami používateľa demonštrovať zraniteľnosti, ktorými je možné získať citlivé dáta či upozorniť na chyby v aplikačnej logike testovanej aplikácie. Test je spravidla vykonávaný v režime grey-box, kedy sú testerovi poskytnuté základné informácie o testovaných moduloch aplikácie a základný popis sieťovej architektúry.

  • Statické testy aplikácie
  • Dynamické testy aplikácie
  • Testy na úrovni systému
  • Testy na úrovni siete

Penetračný test mobilnej aplikácie

Cieľom penetračného testu mobilnej aplikácie je preveriť jej zabezpečenie voči neštandardným akciám používateľa. Test je spravidla realizovaný v režime black-box, kedy je testerovi odovzdaná aplikácia vo formáte APK / IPA alebo odkaz na stiahnutie. Test je zameraný na platformy iOS a Android.

  • Testy zraniteľností automatizovanými nástrojmi detekcie
  • Overenie výsledkov manuálnymi postupmi a vyradenie false-positive nálezov
  • Detekcia zameraná na prácu s autentifikačnými údajmi a citlivými dátami používateľov
  • Analýza sieťovej komunikácie, napríklad pokus o manipuláciu žiadostí o spojenie
  • Posúdenie použitých prvkov z pohľadu bezpečného dizajnu

Ako postupujeme

Fázy testovania

1. Identifikácia cieľov

2. Detekcia aplikácií a služieb

3. Identifikácia zraniteľností

4. Odhalenie nedostatkov

5. Analýza a návrh opatrení

6. Záverečná správa

7. Re-test

Režimy testovania

Black-box

Testerovi je umožnený prístup k testovanému prostrediu bez poskytnutia ďalších informácií o jeho architektúre, použitých technológiách či konfigurácii. Je tak simulovaný útok z pozície externého útočníka.

White-box

Tester má k dispozícii veľmi podrobné informácie o testovanom prostredí, architektúre siete, použitých technológiách aj konfiguráciu. Môže tak simulovať útok z pozície administrátora.

Grey-box

Kombinácia režimov Black-box a White-box. Testerovi sú poskytnuté vopred dostupné informácie, ktoré má používateľ v danej úlohe k dispozícii. Útok tak môže byť simulovaný napríklad zo strany bývalého zamestnanca, partnera či dodávateľa.

Záverečná správa

Záverečná správa je výstupom každého nášho testu. Prináša detailný prehľad o slabých miestach využiteľných k prieniku do testovaných systémov. Definuje stupeň ich závažnosti a navrhuje nápravné opatrenia na ich elimináciu.

  • Prehľad nájdených zraniteľností
  • Hodnotenie stupňa ich závažnosti
  • Odporúčané opatrenia na ich elimináciu
  • Manažérske zhrnutie výsledkov testovania
  • Vyhodnotenie úrovne zabezpečenia

Sú vaše aplikácie a služby dostatočne zabezpečné?

Zostavíme vám na mieru penetračný test, ktorý preverí skutočnú úroveň ich zabezpečenia.