Bezpečnostný audit WWW

Bezpečnostný audit WWW aplikácií

Aplikácie sa s rozvojom nových technológií internetu stále viacej presúvajú za hranice organizácie do on-line prostredia. Význam týchto aplikácií rastie a často predstavujú samotnú podstatu podnikania (napr. banky, e-shopy či aukcie). To si uvedomujú i útočníci, ktorí sa snažia prostredníctvom slabín webových aplikácií získavať citlivé dáta, alebo dokonca poškodiť prevádzkovateľa znemožnením prístupu k aplikáciám. Pokiaľ ste prevádzkovateľom alebo užívateľom niektorej z podobných aplikácií, zvážte preverenie ich zabezpečenia a odolnosť voči útokom hackerov a ďalším možným hrozbám.

Naši špecialisti preveria vašu aplikáciu proti obvyklým útokom a hrozbám. Audit nie je zameraný len na samotnú aplikáciu, ale taktiež na súvisiaci operačný systém, databázové služby a ďalšie podporné služby, ako je napr. WWW server, aplikačný server a i.

Popis testu

Pri tomto teste je simulovaný útok na WWW aplikáciu zákazníka z vonkajšieho prostredia, t.j. konzultant simuluje počínanie potenciálneho útočníka realizujúceho útok z Internetu.

Keďže sú WWW aplikácie vo väčšine prípadov softvérové diela na objednávku, obsahujú chyby, ktoré sú taktiež neopakovateľné a „na objednávku“.

Pri testovaní WWW aplikácií je možné v zásade využiť dva rôzne režimy prístupu, prípadne kombináciu oboch:

  • Testovanie bez znalosti – Preverenie je realizované z anonymnej úrovne bežného užívateľa Internetu.

  • Testovanie so znalosťou – Predpokladá sa znalosť/vlastníctvo autentizačných údajov či prvkov do aplikácie. Tester skúma, či práva pridelené užívateľovi nie je možné nejakým spôsobom obísť alebo eskalovať.

Metodika

Pri testovaní využívame vlastnú metodiku testovania, ktorá sa opiera o uznávaný štandard OWASP a projekt Top 10.

Typ útokuPopis
SQL injectionnedôsledné ošetrenie vstupov v niektorých prípadoch umožňuje útočníkovi modifikovať SQL požiadavky spustené v databáze, čo môže viesť k neoprávnenému získaniu/modifikácii dát alebo dokonca ku spusteniu vlastného kódu na databázovom serveri
Cross site scripting (XSS)WWW server trpiaci touto slabinou môže byť zneužitý ako prostredník pri útoku, ktorý spočíva v spustení kódu (zvyčajne Javascript) v prehliadači užívateľa – obete, ktorý považuje zraniteľný server za dôveryhodný
URL tamperingmanipulácia so štruktúrou URL a/alebo parametrami v rámci URL môže u zraniteľnej aplikácii viesť k realizácii „neočakávaných“ akcií
Hidden field manipulationútok na často citlivé dáta posielané v rámci HTML formulárov v tzv. HIDDEN poliach (nie sú viditeľné pre bežného užívateľa)
HTTP response splitting attackšpecifický útok, pri ktorom je útočník schopný nežiaducim spôsobom rozdeliť HTTP hlavičku a vytvoriť „falošnú“ odpoveď pochádzajúcu zo zraniteľného servera
Cross site tracing (XST)možnosť zneužitia metódy TRACE k získaniu citlivých informácií z http hlavičiek (session cookies, autentizačné údaje)
Session hijackingneoprávnený prístup získaný „unesením“ cudzej komunikácie (napr. získaním alebo uhádnutím session cookie)
Cookie poisoningmanipulácia s cookie v rámci http komunikácie alebo „podstrčenie“ falošnej cookie spôsobom, ktorý nežiaduco ovplyvní správanie aplikácie
Brute force attacksútoky hrubou silou – zvyčajne hádaním mena a/alebo hesla, cookie, parametra URL, a i.
Forceful (direct access) browsingpriamy prístup ku stránkam/súborom, ktoré veľakrát nie sú publikované (nie je na ne nikde odkazované), obídenie logiky aplikácie
Attacking SSLtestovanie zraniteľností použitých SSL implementácií
Bypassing Client-Side Validationpreverenie odolnosti aplikácie pri obídení alebo deaktivácií kontrol na strane klienta (prehliadača)

Výsledky preverenia a odporúčania pre odstránenie zistených nezhôd sú súčasťou záverečnej správy a na úrovni manažérskeho súhrnu prezentované na záverečnej prezentácii výsledkov v sídle zákazníka.

Nespoliehajte sa pri zabezpečovaní bezpečnosti aplikácií len na tvrdenie dodávateľov. Nezávislý audit, nezaťažený tvorbou aplikácie už mnohokrát odhalil závažné nedostatky a zabránil tým hroziacej finančnej strate alebo poškodeniu image spoločnosti. Môžete tak ochrániť svoj dobrý projekt, minimálne pred negatívnou reklamou.

Máte otázky?

Pokiaľ Vás zaujíma viac detailov, prosím kontaktujte nás.

Otázka e-mailom