Audyt bezpieczeństwa aplikacji web

Usługa audytu aplikacji webowej nazywana jest często "pentestem" (penetration test - testy penetracyjne) i polega na próbie wykrycia podatności w aplikacji z intefejsem WWW. Testowana aplikacja jest zazwyczaj dostępna publicznie, choć przeprowadza się też badania aplikacji posiadających ograniczony dostęp - np. udostępnianych partnerom handlowym lub zarejestrowanym klientom oraz aplikacji używanych wyłącznie wewnątrz danej organizacji. Działania audytorów w tym przypadku są zbliżone do działań hakerskich - podejmowana jest próba przełamania zabezpieczeń i uzyskania nieuprawnionego dostępu do systemu. Oczywiście, audytorzy nie wykonują czynności, które mogły by doprowadzić do uszkodzenia systemu lub faktycznego wycieku danych.

Sposoby realizacji audytu aplikacji web

• Testy "Black Box" - audytor otrzymuje wyłącznie adres URL badanej aplikacji, początkowo nie posiada żadnej wiedzy na temat aplikacji ani nie otrzymuje dodatkowych uprawnień
• Testy"Grey Box" - audytor otrzymuje adres URL badanej aplikacji oraz dodatkowe poświadczenia - np. login i hasło użytkownika, może też otrzymać dodatkową informację o funkcjonowaniu interfejsu.
• Testy "White Box" - audytor otrzymuje komplet informacji o systemie, dokumentację architektury i uprawnienia administracyjne, może też otrzymać kod źródłowy.

Metodyka audytu

Metodyka realizacji audytu bazuje na wytycznych OWASP Application Security Verification Standard (ASVS). Testy realizowane są z wykorzystaniem szeregu narzędzi automatycznych oraz przy pomocy manualnej eksploitacji wykrytych podatności.

Szczegóły audytu

Audyt realizowany metodą Black Box skupia się na identyfikacji podatności prowadzących do naruszenia lub przełamania zabezpieczeń aplikacji, a więc np. do uzyskania nieuprawnionego dostępu do bazy kont użytkowników, eskalacji uprawień (uzyskania uprawnień administratora), dostępu do plików kodu źródłowego, itd. Przykładowe błędy i podatności, które badamy, a prowadzące do takich naruszeń bezpieczeństwa są między innymi:

• SQL injection.
• XSS (Cross Site Scripting)
• Cross Site Request Forgery
• Authorization Bypass (obejście mechanizmu uwierzytelnienia użytkownika).
• Code Execution (próby wykonania złośliwego kodu na serwerze).
• Path Traversal.
• Open Redirection.

Efekt audytu

Efektem realizacji usługi audytu jest raport zawierający:

• Syntetyczny wykaz znalezionych błędów, usterek i problemów
• Ogólną i szczegółową ocenę ryzyka
• Zalecenia dotyczące poprawy poziomu zabezpieczeń
• Szczegółowe informacje pochodzące z testów

Co po audycie?

Zapewnienie bezpieczeństwa jest procesem ciągłym. System bezpieczny dziś nie pozostanie bezpiecznym jutro, dlatego też zalecamy naszym klientom okresowe ponawianie audytów, a także inwestycję w systemy ciągłego monitoringu bezpieczeństwa. W ramach pakietu usług audytowych proponujemy też powtórzenie badania po wprowadzeniu przez klienta niezbędnych rekomendowanych przez nas poprawek (tzw. re-audyt).

Zespół i doświadczenie

Firma CC działa na rynku bezpieczeństwa od 2001 roku, gwarancją jakości naszych usług audytowych jest doświadczenie potwierdzone certyfikatami naszych inżynierów - m.in. CISSP oraz OCSP. Nasz zespół tworzą nie tylko specjaliści ds. audytu, a także inżynierowie bezpieczeństwa sieciowego i programiści z wieloletnią praktyką zarządzania systemami oraz tworzenia aplikacji z wykorzystaniem różnorodnych technologii, dlatego też oferowane przez nas usługi audytu kompleksowo odpowiadają na zapotrzebowanie naszych klientów.