Az internetes alkalmazások egy jelentős részét a webalkalmazások alkotják. A modern, összekapcsolt rendszerek vonatkozásában azonban ezen szolgáltatások nem vákumban léteznek, így a publikus elérhetőségük, valamint más rendszerekre gyakorolt potenciális hatásuk miatt biztonsági ellenőrzésük elengedhetetlen egy online jelenléttel rendelkező vállalat számára.
A vizsgálat során automatizált eszközök, valamint manuális módszerek egyaránt alkalmazásra kerülnek, így egy összetett folyamaton keresztül kerül feltérképezésre a webalkalmazás átfogó biztonsági szintje. A vizsgálat tárgyát képezik az alkalmazás, annak komponensei, a kezelt adatok, az üzleti logika, valamint az alkalmazást futtató környezet is, mely magába folalhatja a kapcsolódó szolgáltatásokat. A felderített sérülékenységek kihasználásával meghatározható egy sikeres támadás potenciális hatása, mely teljes képet adhat a biztonsági szint emeléséhez szükséges lépésekről.
Az eredmények alapján egy átfogó jelentés készül, amelyben felsorolásra kerülnek az azonosított, valamint sikeresen kihasznált sérülékenységek, súlyosságuk szerint rangsorolva. A jelentés konkrét javaslatokat tartalmaz a talált hibák kijavítására és az átfogó biztonsági szint megerősítésére, elősegítve a hosszú távú védekezési stratégiák kialakítását.
Módszertani összefoglaló
A webalkalmazás vizsgálatokat OWASP WSTG keretrendszer segítségével végezzük, a webalkalmazást a keretrendszer által felírt tesztesetek alapján vizsgáljuk meg.
1. Információgyűjtés
Az első lépés a webalkalmazások esetében is az információgyűjtés, amely során megpróbáljuk felderíteni a webalkalmazás által használt technológiákat, a webszerveren futó szolgáltatásokat, információszivárgást keresünk a kliens-oldali forráskódban, és a metaadatokban, illetve nyílt forrásból is próbálunk a webapplikációval kapcsolatos információkat gyűjteni.
2. Konfiguráció- és telepítéskezelési tesztelés
A webalkalmazás konfigurációjának tesztelése során megvizsgáljuk a webszerver által használt HTTP metódusokat, fejléceket, adminisztrátori felületek enumerálhatóságát, valamint bizalmas információkat keresünk biztonsági mentésekben, és az alkalmazás fájlkiterjesztés kezelésében.
3. Identitáskezelési tesztelés
Az identitás-menedzsment és az ahhoz kapcsolódó folyamatok biztonságának vizsgálata következik, különös tekintettel a felhasználói fiókkezelésre, a jelszó szabályok betartására és a multifaktoros hitelesítés meglétére, valamint ezek helyes alkalmazására.
4. Authentikáció tesztelés
Következő lépésként megvizsgáljuk a felhasználókkal kapcsolatos folyamatokat, szerepköröket, jogosultságokat, teszteljük az authentikációs folyamatot és a hozzá tartozó további folyamatokat.
5. Authorizáció tesztelés
Célja, hogy megvizsgálja, az alkalmazás biztosítja-e, hogy a felhasználók kizárólag a számukra engedélyezett erőforrásokhoz és funkciókhoz férjenek hozzá. Ez magában foglalja annak ellenőrzését, hogy az egyes felhasználói szerepkörök számára meghatározott jogosultsági szintek megfelelően korlátozzák a hozzáférést, és hogy az alkalmazás védi-e a kritikus erőforrásokat a jogosulatlan hozzáférés ellen.
6. Munkamenetkezelés tesztelés
Annak vizsgálata, hogy az alkalmazás helyesen kezeli-e a felhasználói munkameneteket, biztonságosan tárolja és védi a munkamenet-azonosítókat, és megakadályozza azok jogosulatlan hozzáférését. Ez magában foglalja az érvényesítési mechanizmusok tesztelését is, hogy ne lehessen munkameneteket áthidalni vagy eltéríteni.
7. Bemenet érvényesítési tesztelés
Célja feltárni, hogy az alkalmazás megfelelően validálja-e a felhasználói adatokat, kiszűri-e a veszélyes bemeneteket és megakadályozza-e a rosszindulatú felhasználói beviteli adatok (pl. SQL befecskendezés vagy XSS payload-ok) feldolgozását. Magában foglalja az érvényesítési logikák ellenőrzését mind a szerver-, mind a kliensoldalon.
8. Hibakezelés tesztelés
Ennek során ellenőrizzük, hogy az alkalmazás biztonságosan kezeli-e a hibákat anélkül, hogy érzékeny információkat szivárogtatna ki, és megfelelően (esetlegesen) naplózza-e a kritikus eseményeket.
9. Gyenge kriptográfia tesztelés
Annak vizsgálata, hogy az alkalmazás hogyan biztosítja az érzékeny adatok titkosságát, integritását és elérhetőségét, különös tekintettel a titkosítás és adatvédelmi intézkedések meglétére.
10. Üzleti logika tesztelés
Annak vizsgálata, hogy az alkalmazás alapvető üzleti folyamatai ellenállnak-e a rosszindulatú manipulációnak, például az üzleti logika megkerülésének vagy módosításának. Ez magában foglalja annak ellenőrzését, hogy a rendszer figyelembe veszi-e az üzleti követelményeket és biztonsági korlátozásokat a felhasználói műveletek során.
11. Kliensoldali tesztelés
Annak elemzése, hogy a kliensoldali komponensek, mint a JavaScript, HTML és CSS, megfelelően védettek-e a támadásokkal szemben, és hogy nem tartalmaznak-e olyan sebezhetőségeket, amelyek a felhasználók eszközeit veszélyeztethetik, beleértve a kliensoldali kód és kommunikáció biztonságának tesztelését is.
Szolgáltatásaink
Webalkalmazás sérülékenységvizsgálat
Átfogó vizsgálat automatizált és manuális módszerekkel a webalkalmazás sebezhetőségeinek feltárására.
További részletekMobilalkalmazás sérülékenységvizsgálat
Mobilalkalmazások biztonsági sebezhetőségeinek feltárása és jelentése.
További részletekOSINT
Információk nyílt forrásokból való gyűjtése és elemzése a fenyegetettség feltárására.
További részletekRansomware, malware elemzés
Ransomware és malware támadások részletes vizsgálata a fenyegetések azonosítására.
További részletekWi-Fi sérülékenységvizsgálat
A Wi-Fi hálózat biztonsági kockázatainak felmérése és azonosítása.
További részletekAPI sérülékenységvizsgálat
API-k biztonsági hibáinak alapos vizsgálata és javítása.
További részletekPhishing - adathalász szimuláció
Adathalász kampányok szimulálása a biztonsági tudatosság növelésére.
További részletekCloud Security
Felhőinfrastruktúrák biztonsági vizsgálata és sebezhetőségek azonosítása.
További részletekGPU alapú jelszótörés
Hatékony jelszótörés GPU-alapú számítással az elveszett jelszavak visszanyerésére.
További részletekVastagkliens vizsgálat
Az alkalmazás biztonsági tesztelése a sebezhetőségek feltárására.
További részletekTűzfal konfiguráció vizsgálat
A tűzfal felmérése során azonosítjuk a hibás beállításokat, gyengeségeket és a kijátszható szabályokat.
További részletekForráskód elemzés
A forráskódelemzés során csapatunk a program forráskódját manuális és automatizált eszközökkel vizsgálja, hogy feltárásra kerüljenek a potenciális biztonsági hibák és sérülékenységek.
További részletekInfrastruktúra sérülékenységvizsgálat
Az informatikai rendszerekben található sérülékenységeket automatizált és manuális tesztelési módszerek kombinációjával értékeljük, majd részletes javaslatokat készítünk ezek orvoslására.
További részletekPenetrációs teszt
Az IT rendszerek sérülékenységeit a penetrációs tesztek során azonosítjuk, kihasználjuk és értékeljük, hogy ezáltal részletes képet kapjunk annak hatásairól.
További részletekDevSecOps
A DevSecOps egy szervezeti és technikai megközelítés, amely az agilis fejlesztési folyamatokba integrálja az aktív biztonsági auditokat és teszteket.
További részletekTanácsadás, képviselet, integrált támogatás
Tanácsadási szolgáltatásunk keretében tapasztalatunkat és széleskörű biztonsági ismereteinket felhasználva támogatjuk ügyfeleinket a különböző IT biztonsági kihívások kezelésében.
További részletek
Alverad Technology Focus Kft.
1138 Budapest, Szekszárdi u. 22. Madarász Irodapark IV. ép. 2. emelet
Kapcsolat
+36 20 318-7241
pentester@alverad.hu
Oldaltérkép
Kövessen minket
Jogi Információk
© 2024 Alverad Technology Focus Kft. Minden jog fenntartva.