Usługi

Testy penetracyjne aplikacji
Testy penetracyjne infrastruktury
Testy Socjotechniczne
Testy Odporności na Ataki Typu DDoS
Testy Red Teaming / Purple Teaming
Audyty bezpieczeństwa

Testy penetracyjne aplikacji

Aplikacje są coraz częstszym celem ataków cybernetycznych, niezależnie od tego, czy są to autorskie, czy też gotowe rozwiązania. Dzięki testom penetracyjnym prowadzonym przez naszych specjalistów dowiesz się o istnieniu podatności poszczególnych elementów aplikacji, zanim ktoś niepożądany wykorzysta je przeciwko Tobie.

Realizujemy testy penetracyjne aplikacji webowych, mobilnych (dla systemów Android i iOS) oraz sieciowych.

Testy mogą odbywać się w trzech modelach, które definiują ich zakres oraz czasochłonność:

BlackBox

Testy z perspektywy anonimowego użytkownika. Jeżeli aplikacja posiada moduł rejestracji, to poza użytkownikiem anonimowym, korzystamy też z kont w aplikacji, które można założyć samodzielnie. Jest to najmniej rozbudowany wariant testów.

GreyBox

W ramach testów wykonujemy te same prace, jak w przypadku testów Black Box. Ponadto wykonywane są działania z wykorzystaniem dodatkowych kont, takich jak konta Administratora, Moderatora, czy też innych, dowolnych ról o różnych poziomach uprawnień zdefiniowanych w aplikacji, lecz niedostępnych dla zewnętrznego użytkownika.

WhiteBox

Najbardziej rozbudowany wariant testów, który obejmuje te same prace jak w przypadku testów Gray Box, a dodatkowo osoby realizujące testy mają dostęp do kodu źródłowego aplikacji, co pozwala wykryć dodatkowe podatności. W tym wariancie istnieje możliwość wykorzystania dokumentacji technicznej, dzięki czemu mogą zostać dostrzeżone błędy logiczne w aplikacji.

Podczas testów aplikacji webowych korzystamy z metodologii OWASP TOP 10 (2017), dodatkowo w modelu White Box wykorzystujemy metodologię OWASP ASVS 3.0/4.0 w celu weryfikacji poprawności implementacji określonych elementów aplikacji, mogących mieć wpływ na bezpieczeństwo.

W zakresie testów aplikacji mobilnych opieramy się o metodologię OWASP MSTG (1.1.2) dla aplikacji mobilnych, dodatkowo w modelu White Box wykorzystujemy metodologię OWASP MASVS (1.1.4) w celu weryfikacji poprawności implementacji określonych elementów aplikacji, związanych z bezpieczeństwem.

W przypadku testów aplikacji sieciowychopieramy się o dobre praktyki bezpieczeństwa związane z danym modelem komunikacji sieciowej (klient-serwer, serwer-serwer, peer-to-peer) oraz zestawem wykorzystanych technologii: system operacyjny, języki programowania wykorzystane do stworzenia aplikacji. W przypadku testów w modelu White Box wykonujemy analizę kodu w następujących językach programowania: PHP, JavaScript, C#, Java, Python, C/C++, Objective C.

Korzyści testów penetracyjnych aplikacji:

Dostarczenie informacji o podatnościach aplikacji oraz możliwości ich wykorzystania do nieautoryzowanego dostępu do chronionych danych

Ocena podatności aplikacji dostępnej on-line

Ograniczenie potencjalnych kosztów niedostępności serwisu w przypadku udanego ataku

Wzrost poziomu bezpieczeństwa – Twojej organizacji oraz Twoich odbiorców i partnerów biznesowych

Chcesz uzyskać więcej informacji?

Nasi specjaliści są do Twojej dyspozycji!

Click me!