Pentesty Aplikacji Web

Usługa WSPS ma na celu odnalezienie w badanym serwisie internetowym luk bezpieczeństwa, umożliwiających osobom niepowołanym dostęp do danych serwisu internetowego, jego zniszczenie, kompromitację bądź wykorzystanie go w ataku na inne zasoby w sieci Internet.

Metodyka przeprowadzenia testów bezpieczeństwa:

Testy Blackbox

Testy w których pentesterzy, posiadają minimalną wiedzę o badanym serwisie (np. tylko informację o adresie internetowym badanego serwisu). Celem tego testu jest odwzorowanie sytuacji, w której osoby niepowołane (potencjalni włamywacze), przy wykorzystaniu luk odnalezionych w badanym serwisie budują wektory ataków, które docelowo mają posłużyć do kompromitacji serwisu.

Etapy metody Blackbox:

  • Pozyskanie informacji o zasobach informatycznych, związanych z funkcjonowaniem serwisu internetowego (np. enumeracja strefy dns, określenie wersji i silnika bazy danych, języków programowania, sposobów dostępu do serwisu na poziomie aplikacyjnym oraz systemowym)
  • Analiza znanych podatności dla wybranych komponentów systemu (np. nie aktualnej wersji modułu WordPress)
  • Próba odwzorowania środowiska w laboratorium MGM Systems, celem przygotowania wektorów ataków na komponenty systemu
  • Przygotowanie scenariusza dla nieinwazyjnych ataków na serwis internetowy Klienta
  • Przygotowanie scenariusza dla testów inwazyjnych (o ile Klient wyraz na nie zgodę)
  • Przeprowadzenie zestawu testów w laboratorium
  • Przeprowadzenie testów w środowisku docelowym Klienta, po wcześniejszym ustaleniu terminu oraz zakresu testów oraz przygotowaniem planu Disaster Recovery środowiska Klienta
  • Przygotowanie raportu poaudytwego wraz z określeniem poziomu zagrożenia dla badanej podatności, informacji o podatności oraz sposobie rozwiązania problemu.

Wektory ataków wykorzystywane przy testach bezpieczeństwa badanego systemu (plik w formacie pdf do pobrania).

 

Testy Crystal Box

Test penetracyjny z pełną wiedzą – zespół testujący ma pełny dostęp do dokumentacji projektowej, kodu źródłowego, konfiguracji urządzeń sieciowych itd. W przypadku opierania się wyłącznie na tej wiedzy można mówić o „przeglądzie kodu” lub „przeglądzie konfiguracji”.

 

 

Wynik działania osób niepowołanych i potencjalne konsekwencje z tym związane.

wsps02
 

Zasoby

Testy penetracyjne aplikacji web, prowadzone są przez doświadczonych Inżynierów Systemowych,  Inżynierów Bazodanowych, Programistów, inżynierów sieciowych oraz osoby związane bezpieczeństwem IT od ponad 20 lat.

Kompetencje technologiczne w zakresie zespołu pentesterów:

Systemy operacyjne Linux / Unix

  • Bazy danych: MySQL, Microsoft SQL, Oracle, DB2, PostgreSQL, SQLite
  • Języki programowania: Assembler, ANSI C, C++, ASP, PHP, Java Script, Java, Cordova, Python, Perl, Ruby
  • Języki proceduralne silników baz danych: MySQL, Microsoft SQL, Oracle, PostgreSQL,
  • Serwery HP, Dell, IBM we wszystkich możliwych architekturach
  • Silniki serwerów WWW: Apache, Nginx, Litespeed, Microsoft IIS
  • Platformy wirtualizacji Citrix XEN, KVM, VMWare ESX, Microsoft Hyper-V
  • Narzędzia wspomagające procesu testów penetracyjnych: Portswigger Burp Suite, OWASP Zap, Rapid 7 Metasploit Framework, Xenotix XSS Exploit Framework