Testy penetracyjne aplikacji

Aplikacje są coraz częstszym celem ataków cybernetycznych, niezależnie od tego, czy są to autorskie, czy też gotowe rozwiązania. Dzięki testom penetracyjnym prowadzonym przez naszych specjalistów dowiesz się o istnieniu podatności poszczególnych elementów aplikacji, zanim ktoś niepożądany wykorzysta je przeciwko Tobie.

Realizujemy testy penetracyjne aplikacji webowych, mobilnych (dla systemów Android i iOS) oraz sieciowych.

Testy mogą odbywać się w trzech modelach, które definiują ich zakres oraz czasochłonność:

BlackBox

Testy z perspektywy anonimowego użytkownika. Jeżeli aplikacja posiada moduł rejestracji, to poza użytkownikiem anonimowym, korzystamy też z kont w aplikacji, które można założyć samodzielnie. Jest to najmniej rozbudowany wariant testów.

GreyBox

W ramach testów wykonujemy te same prace, jak w przypadku testów Black Box. Ponadto wykonywane są działania z wykorzystaniem dodatkowych kont, takich jak konta Administratora, Moderatora, czy też innych, dowolnych ról o różnych poziomach uprawnień zdefiniowanych w aplikacji, lecz niedostępnych dla zewnętrznego użytkownika.

WhiteBox

Najbardziej rozbudowany wariant testów, który obejmuje te same prace jak w przypadku testów Gray Box, a dodatkowo osoby realizujące testy mają dostęp do kodu źródłowego aplikacji, co pozwala wykryć dodatkowe podatności. W tym wariancie istnieje możliwość wykorzystania dokumentacji technicznej, dzięki czemu mogą zostać dostrzeżone błędy logiczne w aplikacji.

Podczas testów aplikacji webowych korzystamy z metodologii OWASP TOP 10 (2017), dodatkowo w modelu White Box wykorzystujemy metodologię OWASP ASVS 3.0/4.0 w celu weryfikacji poprawności implementacji określonych elementów aplikacji, mogących mieć wpływ na bezpieczeństwo.

W zakresie testów aplikacji mobilnych opieramy się o metodologię OWASP MSTG (1.1.2) dla aplikacji mobilnych, dodatkowo w modelu White Box wykorzystujemy metodologię OWASP MASVS (1.1.4) w celu weryfikacji poprawności implementacji określonych elementów aplikacji, związanych z bezpieczeństwem.

W przypadku testów aplikacji sieciowych opieramy się o dobre praktyki bezpieczeństwa związane z danym modelem komunikacji sieciowej (klient-serwer, serwer-serwer, peer-to-peer) oraz zestawem wykorzystanych technologii: system operacyjny, języki programowania wykorzystane do stworzenia aplikacji. W przypadku testów w modelu White Box wykonujemy analizę kodu w następujących językach programowania: PHP, JavaScript, C#, Java, Python, C/C++, Objective C.

Korzyści testów penetracyjnych aplikacji:
  • Dostarczenie informacji o podatnościach aplikacji oraz możliwości ich wykorzystania do nieautoryzowanego dostępu do chronionych danych
  • Ocena podatności aplikacji dostępnej on-line
  • Ograniczenie potencjalnych kosztów niedostępności serwisu w przypadku udanego ataku
  • Wzrost poziomu bezpieczeństwa – Twojej organizacji oraz Twoich odbiorców i partnerów biznesowych
Chcesz uzyskać więcej informacji?
Nasi specjaliści są do Twojej dyspozycji!

Ta strona używa COOKIES. Korzystając z niej, wyrażasz zgodę na używanie plików cookies zgodnie z ustawieniami przeglądarki.polityka prywatności