Penetrační testy webových aplikací

G+
linkedin

Webové aplikace jsou programy, ke kterým je možné přistupovat prostřednictvím webového serveru. Často poskytují přístup k citlivým údajům, což z nich dělá zajímavý cíl pro útočníky. V současnosti jsou proto nejčastějším vektorem útoku. Bezpečnost webových stránek musí být prioritou v každé organizaci, zůstává bohužel mnohdy přehlížena.

Firewally, SSL a speciálně zabezpečené sítě jsou proti hackování webových aplikací nicotné. (Acunetix.com)

Podle společnosti Acunetix obsahuje 70 % webových stránek a webových aplikací zranitelnosti, které mohou způsobit odcizení citlivých dat organizací, osobních dat uživatelů či údaje o platebních kartách zákazníků. Příkladem zajímavých cílů mohou být stránky on-line obchodů, webové stránky s redakčními systémy (CMS) nebo portály internetového bankovnictví. Internetové aplikace jsou globálně přístupné 7x24, takže je snadné je najít a monitorovat.

Jakákoli obrana na úrovni zabezpečení sítě neposkytuje žádnou ochranu proti útokům na webové aplikace, protože jsou vedeny na portech 80/443 - které zůstávají otevřené. Navíc webové aplikace jsou často šité na míru, proto jsou testovány méně než krabicový software. Současně je také více pravděpodobné, že budou obsahovat neobjevené zranitelnosti.

Jsou Vaše webové stránky hacknutelné?

Společnost KRUCEK | Cybersecutiry otestuje s využitím software Acunetix Vulnerability Scanner a jiných nástrojů Vaše webové stránky a aplikace na SQL Injection, XSS, XXE, CSRF, Host Header Attacks a dalších, vice než 3000 zranitelností. Také Vám poskytne podporu při správě a sanaci zranitelností v kontextu závažností jejich dopadu. 

Co Vám testování přinese

  • Prostřednictvím penetračních testů poznáte obchodní rizika, která mohou Vaše webové aplikace nést.
  • Získáte podrobné znalosti o bezpečnostní situaci Vašich webových aplikací.
  • Zpráva Vás upozorní na skutečné a pravděpodobné útoky.
  • Získáte návrh opatření pro zvýšení bezpečnosti Vašich webových aplikací.
  • Zvýšíte ochranu Vašich dat, informačních systémů i dobrého jména společnosti.

Jakou hloubku testu zvolit

V průběhu penetračního testování kombinujeme automatizované i manuální techniky, které pomáhají zjistit úroveň zabezpečení vašich citlivých dat a ověřit dodržení shody s vašimi politikami, normativy a doporučenou praxí. 

Automatizovaný penetrační test webové aplikace
je určen pro menší a jednoduché webové stránky...
je určen pro menší a jednoduché webové stránky. Pro důkladnější testování, které zahrnuje i manuální kontrolu, doporučujeme provést standardní penetrační test.
Penetrační test webové aplikace
s manuální kontrolou pro weby bez bezpečnostně kritických operací...
s manuální kontrolou je určen pro menší a jednoduché webové stránky, které neposkytují bezpečnostně kritické operace.
Komplexní bezpečnostní test webové aplikace
pro větší a komplexní weby poskytující citlivé informace...
je určen pro větší a komplexní webové stránky, které poskytují bezpečnostně kritické operace a citlivé informace.

Acunetix – technologický lídr detekce web zranitelností

Acunetix je jedním z vedoucích nástrojů pro detekci zranitelností, který je vyvíjen více než deset let a rozvíjen v kontextu nejnovějších zranitelností a internetových hrozeb. Je preferovaným nástrojem zákazníků, jako jsou US Army, US Airforce, Barclays Bank, American Express a další. Acunetix poráží konkurenční produkty v mnoha oblastech – v rychlosti, v podpoře moderních technologií jako jsou HTML5 a JavaScript, ve schopnosti snadno procházet prostory s omezeným přístupem i v pokročilé detekci WordPress zranitelností.

Mezi inovativní technologie Acunetix patří:

  • DeepScan technologie umožňuje přesné procházení AJAX-heavy klientských single-page aplikací, které využívají komplexní technologie.
  • Nejpokročilejší a robustní testování SQL Injection a Cross-site scripting, včetně pokročilé detekce DOM-based cross-site scripting.
  • Záznam přihlašovací sekvence umožňuje automatické procházení a skenování komplexních, hesly chráněných oblastí.
  • AcuSensor technologie umožňuje přesné skenování, což dále snižuje falešně pozitivní hodnocení – 0% Fals Positive.
  • Vestavěný nástroj správy zranitelností pro vyhledávání, měření a sanaci chyb zabezpečení, včetně široké škály automatizovaných výstupních zpráv.
  • Nejvyšší detekce zranitelností v systémech WordPress, Joomla! a Drupal.

Až 95 % webových stránek a aplikací obsahuje značné trhliny a celých 75 % všech kybernetických útoků se zaměřuje právě na weby. (Acunetix.com)

Fáze testování

  • Analýza celé struktury webu, včetně oblastí s omezeným přístupem je úvodní podstatnou fází testu. 
  • Testována je každá stránka, která byla nalezena v rámci analýzy struktury webu. Pečlivě je testováno tisíce zranitelností webových aplikací, včetně SQL Injection a cross-site scripting. Použitý testovací nástroj Acunetix Web Vulnerability Scanner vykazuje 100% True Positive a 0% Fals Positive výsledky (viz WAVSEP Web Application Scanner Benchmark 2016).
  • Výstupem je zpráva a doporučení - podle míry detailu od přehledového, executive summary reportu po podrobnou zprávu pro vývojáře. 
  • Výstupem může být také Certificate of Compliance - certifikát o shodě s požadavky normativů, jako je OWASP TOP 10, PCI DSS anebo ISO/IEC 27001.

Opakování je základ bezpečnosti

S vývojem poznatků a znalostí dochází k neustálému objevování nových bezpečnostních chyb a postupů, jak tyto chyby využít. Proto je doporučeno testy pravidelně opakovat, aby se dosáhlo minimalizace rizik v čase. Zvolit můžete pololetní, čtvrtletní nebo i měsíční periodu opakování testu.

Ke stažení

Napište nám:

Napište nám zprávu ...
Souvisejicí soubory

Bezpečnostní testy webových aplikací

Jsou vaše webové stránky hacknutelné?
1
*
 
2
*
 
3
*
*
*