Audyt bezpieczeństwa serwera HTTP - blackbox
Audyt bezpieczeństwa serwera HTTP (np. apache, IIS), prowadzony metodą blackbox (bez znajomości konfiguracji). Audyt weryfikuje skuteczność hardeningu serwera HTTP.
Przykładowy zakres audytu
- Próba detekcji typu i wersji serwera WWW. Po udanej detekcji, próba zlokalizowania znanych podatności w danej wersji serwera.
- Sprawdzenie obsługi błędów na serwerze WWW (kilka testów bazujących na błędnie wysłanych requestach HTTP lub requestach do nieistniejących zasobów).
- Sprawdzenie dostępności domyślnych katalogów / plików.
- Sprawdzenie dostępności oraz konfiguracji protokołu szyfrującego HTTPS (możliwość negocjacji SSLv2, dostępność słabych szyfrów sesji, sprawdzenie poprawności oraz ważności certyfikatu SSL).
- Sprawdzenie metod HTTP udostępnianych na serwerze (GET, POST, HEAD, TRACE, OPTIONS, itd.).
- Sprawdzenie informacji wysyłanych w nagłówkach HTTP response (wybranie kilku różnych nagłówków).
- Sprawdzenie możliwości wykorzystania serwera jako open proxy.
- Sprawdzenie możliwości dostępu do danych zabezpieczonych protokołem HTTPS poprzez nieszyfrowany protokół HTTP.
Powyższy zakres audytu ma charakter przykładowy - w celu otrzymania szczegółowej oferty prosimy o kontakt.