TESTY PENETRACYJNE

Testy penetracyjne
aplikacji webowych

Testy penetracyjne aplikacji webowej polegają na symulacji ataku
hackerskiego i wyłapanie słabych punktów organizacji, przeprowadzane
zgodnie z wytycznymi OWASP.

Testy wykonywane według OWASP

przede wszystkim OWASP TOP 10

  • Broken Access Control
  • Cryptographic Failures
  • Injection
  • Insecure Design
  • Security Misconfiguration
  • Vulnerable and Outdated Components
  • Identification and Authentication Failures
  • Software and Data Integrity Failures
  • Security Logging and Monitoring Failures
  • Server-Side Request Forgery

Testy penetracyjne
aplikacji webowej

Rekonesans

Enumeracja

Mapowanie

Szukanie podatności

Eksploitacja

Przygotowanie raportu

Wsparcie po testach

Wykonujemy testy w 3 możliwych wariantach

Black box

Pentester nie otrzymuje żadnych informacji na temat sieci, nie zna struktury i szczegółów.

Gray box

Pentester otrzymuje część informacji na temat sieci, zna w pewnym stopniu strukturę oraz posiada ogólne informacje.

White box

Penetster otrzymuje wszystkie informacje na temat sieci, ma dostęp do pełnej dokumentacji.

Krok po kroku

Testy penetracyjne aplikacji webowych

Cel i zakres

  • Określamy cel testów oraz zakresu infrastruktury, który ma zostać objęty testami.

Plan działania

  • Na podstawie celu przygotowujemy szczegółowy plan, określamy czas testów i sposób realizacji.

Spotkanie otwierające

  • Weryfikujemy ustalone dostępy, poprawność działania połączenia i rozpoczynamy testy.

Rekonesans

  • Zbieramy informacje o infrastrukturze sieciowej w celu jej poznania.

Enumeracja

  • Zdobywamy dodatkowe informacje na temat wcześniej znalezionych zasobów wchodzących w skład aplikacji.

Mapowanie

  • Mapujemy dostępne punkty końcowe weba i tworzymy mapy tego, co znajduje się w aplikacji.

Szukanie podatności oraz luk bezpieczeństwa

  • Skanujemy pod kątem znanych podatności i luk w zabezpieczeniach oraz poszukujemy nowe, które mogą wynikać z zastosowanej architektury. Testowanie zazwyczaj odbywa się według OWASP TOP 10 oraz innych ustalonych w planie.

Eksploitacja podatności

  • Weryfikujemy, czy znalezioną podatność/ lukę można wykorzystać oraz, czy nie jest false positive. Wykorzystujemy znalezione podatności do potwierdzenia ich występowanie oraz wpływu na środowisko.

Przygotowanie raportu

  • Dostarczamy raport końcowy zawierający: podsumowanie dla kadry zarządzającej, listę podatności wraz z poziomem ich występowania, opis, szczegóły techniczne oraz rekomendacje i referencje wskazujące jak daną podatność usunąć.

Wsparcie poaudytowe

  • Po przeprowadzonych testach otrzymujesz od nas możliwość konsultacji z pentesterem, który przeprowadzał dany test, aby móc porozmawiać o wątpliwościach, znalezionych podatnościach oraz o wynikach testów.

OSCP

Offensive
Security Certified
Professional

CEH

Certified
Ethical
Hacker

eWPT

Web Application
Penetration
Tester

eWPTX

Web Application
Penetration
Tester Extreme

(C)ISM

CIS Information
Security
Manager

CISSP

Certified Information
Systems Security
ProfessionaL