Audyt bezpieczeństwa aplikacji www
Audyt bezpieczeństwa aplikacji www, prowadzony metodą blackbox (bez znajomości kodów źródłowych ani konfiguracji aplikacji). Często audyt tego typu przybiera formę testów penetracyjnych (symulowane, realne ataki na aplikację).
Przykładowy zakres audytu
- Recenzja architektury logicznej.
- Podstawowy audyt infrastruktury oraz sieci.
- Zastosowanie technik google hacking.
- Wykorzystanie manualnych oraz automatycznych metod prowadzenia audytu.
- Detekcja błędów aplikacyjnych (kilka testów na każdą z poniższych klas):
- SQL injection.
- XSS (Cross Site Scripting) – błędy typu reflected oraz stored.
- Detekcja zabezpieczeń na podatność CSRF (Cross Site Request Forgery)
- Broken Authentication and Session Management (badanie losowości ID sesji, próba detekcji składni nazywania cookie sesyjnego, sprawdzenie bezpieczeństwa budowy formularza logowania).
- Authorization Bypass (próby dostępu do zasobów bez uwierzytelnienia użytkownika).
- Code Execution (próby wykonania wrogiego kodu na serwerze).
- Information Leakage (próby detekcji wycieku istotnych informacji – technicznych i biznesowych – z serwera).
- Insecure Communications (np. dostęp do istotnych danych – np. konta administracyjnego bez szyfrowania).
- Source Disclosure (próby prowadzące do ujawnienia kodów źródłowych wykorzystanego oprogramowania).
- Path Traversal.
- Open Redirection.
- Denial of Service (DoS).
- File Inclusion.
- Response Splitting.
Powyższy zakres audytu ma charakter przykładowy - w celu otrzymania szczegółowej oferty prosimy o kontakt.
