Bezpečnostný audit WWW

Bezpečnostný audit WWW aplikácií

Bezpečnostný audit WWWAplikácie sa s rozvojom nových technológií internetu stále viacej presúvajú za hranice organizácie do on-line prostredia. Význam týchto aplikácií rastie a často predstavujú samotnú podstatu podnikania (napr. banky, e-shopy či aukcie). To si uvedomujú i útočníci, ktorí sa snažia prostredníctvom slabín webových aplikácií získavať citlivé dáta, alebo dokonca poškodiť prevádzkovateľa znemožnením prístupu k aplikáciám. Pokiaľ ste prevádzkovateľom alebo užívateľom niektorej z podobných aplikácií, zvážte preverenie ich zabezpečenia a odolnosť voči útokom hackerov a ďalším možným hrozbám.

Naši špecialisti preveria vašu aplikáciu proti obvyklým útokom a hrozbám. Audit nie je zameraný len na samotnú aplikáciu, ale taktiež na súvisiaci operačný systém, databázové služby a ďalšie podporné služby, ako je napr. WWW server, aplikačný server a i.

Popis testu

Pri tomto teste je simulovaný útok na WWW aplikáciu zákazníka z vonkajšieho prostredia, t.j. konzultant simuluje počínanie potenciálneho útočníka realizujúceho útok z Internetu.

Keďže sú WWW aplikácie vo väčšine prípadov softvérové diela na objednávku, obsahujú chyby, ktoré sú taktiež neopakovateľné a „na objednávku“.

Pri testovaní WWW aplikácií je možné v zásade využiť dva rôzne režimy prístupu, prípadne kombináciu oboch:

  • Testovanie bez znalosti – Preverenie je realizované z anonymnej úrovne bežného užívateľa Internetu.
  • Testovanie so znalosťou – Predpokladá sa znalosť/vlastníctvo autentizačných údajov či prvkov do aplikácie. Tester skúma, či práva pridelené užívateľovi nie je možné nejakým spôsobom obísť alebo eskalovať.

Metodika

Pri testovaní využívame vlastnú metodiku testovania, ktorá sa opiera o uznávaný štandard OWASP a projekt Top 10.

Typ útoku

Popis

SQL injection

nedôsledné ošetrenie vstupov v niektorých prípadoch umožňuje útočníkovi modifikovať SQL požiadavky spustené v databáze, čo môže viesť k neoprávnenému získaniu/modifikácii dát alebo dokonca ku spusteniu vlastného kódu na databázovom serveri

Cross site scripting (XSS)

WWW server trpiaci touto slabinou môže byť zneužitý ako prostredník pri útoku, ktorý spočíva v spustení kódu (zvyčajne Javascript) v prehliadači užívateľa - obete, ktorý považuje zraniteľný server za dôveryhodný

URL tampering

manipulácia so štruktúrou URL a/alebo parametrami v rámci URL môže u zraniteľnej aplikácii viesť k realizácii „neočakávaných“ akcií

Hidden field manipulation

útok na často citlivé dáta posielané v rámci HTML formulárov v tzv. HIDDEN poliach (nie sú viditeľné pre bežného užívateľa)

HTTP response splitting attack

špecifický útok, pri ktorom je útočník schopný nežiaducim spôsobom rozdeliť HTTP hlavičku a vytvoriť „falošnú“ odpoveď pochádzajúcu zo zraniteľného servera

Cross site tracing (XST)

možnosť zneužitia metódy TRACE k získaniu citlivých informácií z http hlavičiek (session cookies, autentizačné údaje)

Session hijacking

neoprávnený prístup získaný „unesením“ cudzej komunikácie (napr. získaním alebo uhádnutím session cookie)

Cookie poisoning

manipulácia s cookie v rámci http komunikácie alebo „podstrčenie“ falošnej cookie spôsobom, ktorý nežiaduco ovplyvní správanie aplikácie

Brute force attacks

útoky hrubou silou – zvyčajne hádaním mena a/alebo hesla, cookie, parametra URL, a i.

Forceful (direct access) browsing

priamy prístup ku stránkam/súborom, ktoré veľakrát nie sú publikované (nie je na ne nikde odkazované), obídenie logiky aplikácie

Attacking SSL

testovanie zraniteľností použitých SSL implementácií

Bypassing Client-Side Validation

ppreverenie odolnosti aplikácie pri obídení alebo deaktivácií kontrol na strane klienta (prehliadača)

Výsledky preverenia a odporúčania pre odstránenie zistených nezhôd sú súčasťou záverečnej správy a na úrovni manažérskeho súhrnu prezentované na záverečnej prezentácii výsledkov v sídle zákazníka.

Nespoliehajte sa pri zabezpečovaní bezpečnosti aplikácií len na tvrdenie dodávateľov. Nezávislý audit, nezaťažený tvorbou aplikácie už mnohokrát odhalil závažné nedostatky a zabránil tým hroziacej finančnej strate alebo poškodeniu image spoločnosti. Môžete tak ochrániť svoj dobrý projekt, minimálne pred negatívnou reklamou.