Testy Aplikacji Webowych

Aplikacje webowe są podstawą współczesnych systemów informatycznych. Testy bezpieczeństwa umożliwiają wykrycie podatności, które mogłyby być wykorzystane przeciwko organizacji jak i jej klientom.

Aplikacje webowe ze względu na swoją specyfikę – otwartość na użytkownika a jednocześnie połączenie z kluczowymi systemami organizacji, stanowią dobry cel dla potencjalnych intruzów. Zwykle są one “drzwiami”, przez które użytkownicy wchodzą do systemu informatycznego, dlatego też kwestie zabezpieczeń są ich nieodłącznymi elementami.

Według najnowszych danych* aplikacje webowe są wektorem ataku w 90% wszystkich przypadków incydentów.

Skuteczny atak na aplikację webową może spowodować np.:

– dostęp do kluczowych zasobów organizacji,
– uzyskanie uprawnień w ingerencję danych,
– wyciek danych osobowych,
– przejęcie i zablokowanie dostępu do serwerów.

Dotyczyć to może zarówno aplikacji zewnętrznych, wystawionych do internetu, jak i aplikacji wewnętrznych, dostępnych jedynie w sieci lokalnej.

Jak wyglądają testy bezpieczeństwa aplikacji webowych?

Testy bezpieczeństwa polegają na systematycznych próbach nadużycia wszystkich funkcji w danej aplikacji. Ocenę bezpieczeństwa aplikacji rozpoczynamy od modelowania potencjalnych zagrożeń. Bierzemy pod uwagę kluczowe zasoby dostępne w aplikacji i zastanawiamy się, jakie mogą być cele potencjalnego atakującego. Listę zagrożeń wraz z ich priorytetami konsultujemy następnie z klientem – stanowią one podstawę testów. Zdarzają się jednak przypadki, kiedy nie wykonujemy modelowania np. precyzyjne wskazanie testowanego zakresu przez klienta.

Nasza metodyka testów gwarantuje możliwie optymalne wykorzystanie czasu przeznaczonego na testy oraz pokrycie pełnej funkcjonalności aplikacji. 

Wykonanie testów bezpieczeństwa aplikacji webowej, w typowym przypadku, przebiega w następujących krokach:

1. Uzyskanie dostępu do aplikacji i informacji o budowie systemu.
2. Modelowanie zagrożeń – analiza bezpieczeństwa zmierzająca do ustalenia możliwych sposobów ataku i najistotniejszych skutków.
3. Ustalenie priorytetów, wyłączeń i zależności.
4. Wykonanie testów. Zleceniodawca jest informowany na bieżąco o zidentyfikowanych, kluczowych podatnościach.
5. Zebranie wyników testów i opracowanie raportu.
6. Konsultacje odnośnie sposobu usunięcia podatności.
7. Weryfikacja prawidłowego usunięcia podatności.

Wynikiem testów bezpieczeństwa jest raport. Zawiera on podsumowanie dla kadry zarządzającej, dokładny opis każdej z podatności wraz z proponowanymi działaniami naprawczymi oraz listę zaleceń, czyli metod na zwiększenie bezpieczeństwa systemu. Możliwe jest również przeprowadzenie weryfikacji pod kątem zgodności z OWASP Application Security Verification Standard.

Technologie, które obsługujemy:

– Języki programowania: Java, JavaScript, ASP.Net, PHP, C, C++, C#, Python, Ruby, Scala…
– Frameworki: Angular, ASP.Net, Django, Laravel, Node.js, Play, React.js, Spring, Struts, Symfony, Wicket…
– API: REST, SOAP, GraphQL…
– Bazy danych: MySQL, Oracle, Microsoft SQL Server, MongoDB, PostgreSQL, SQLite…
– Uwierzytelnienie: 2FA, biometria, JSON Web Token, LDAP, OAuth…
– CMS: Drupal, Joomla, Shopify, WordPress…
– Architektury: klient-serwer, mikroserwisy, serverless, SaaS (w tym multitenant), SPA..
– Protokoły: HTTP, HTTPS, WebSocket, i inne, niestandardowe.

“Wierzymy, że kluczem do efektywnych testów bezpieczeństwa jest dogłębne zrozumienie sposobu działania aplikacji i wykorzystywanych przez nią technologii, dlatego stale śledzimy pojawiające się nowości w świecie IT.”

Aby uzyskać wycenę testów bezpieczeństwa aplikacji skontaktuj się z nami. Każda aplikacja jest inna – dostaniesz od nas zestaw pytań pozwalający nam na oszacowanie pracochłonności i szybką wycenę projektu. Jeśli będzie to konieczne to skontaktujemy się z Tobą, żeby ustalić specyfikę Twoich potrzeb, szczegóły funkcjonalności aplikacji i szerszy kontekst testów bezpieczeństwa, tak żeby ich wyniki miały dla Ciebie jak największą wartość.

A może interesuje Cię audyt bezpieczeństwa? Zobacz nasz artykuł: “Audyt bezpieczeństwa, a test bezpieczeństwa – czym to się różni?” 

* – źródło: 2019 Data Breach Investigations Report https://enterprise.verizon.com/resources/reports/dbir/
Verizon Data Breach Investigations Report – Top hacking vectors in breaches

Case study

Jak zwiększyliśmy bezpieczeństwo aplikacji do bankowości internetowej?

Klientem był jeden z wiodących banków, oferujący serwis internetowy dla podmiotów indywidualnych i biznesowych. Zakres testu obejmował bezpieczeństwo serwisu transakcyjnego, usług zarządzania płatnościami, giełdy finansowej oraz produkty pożyczkowe.

Wkrótce więcej…
Zaufali nam

Zostań naszym klientem

I zbudujmy razem bezpieczną przyszłość

Napisz do nas