Testy penetracyjne webaplikacji

Testy penetracyjne webaplikacji
Najbardziej rozpowszechniony oraz najbardziej podatne i najbardziej rozbudowany rodzaj aplikacji. W chwili obecnej aplikacje oparte o przeglądarkę są najczęściej wykorzystywane do prowadzenia wszelkiego rodzaju czynności.
Dlatego dbałość o bezpieczeństwo danych przetwarzanych w aplikacjach webowych jest krytyczna nie tylko dla biznesu ale dla sektora publiczne również.

OWASP Top 10 – ale o co chodzi?
Cały Internet huczy od OWASPów. Ludzie piszą, cytują wskazują, określenie pojawia się w przetargach publicznych, ale właściwie dlaczego i o co chodzi z OWASP?
The Open Web Application Security Project® (OWASP) jest fundacją non-profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. Dzięki prowadzonym przez społeczność projektom oprogramowania open source, setkom lokalnych oddziałów na całym świecie, dziesiątkom tysięcy członków oraz wiodącym konferencjom edukacyjnym i szkoleniowym, Fundacja OWASP jest źródłem wiedzy dla programistów i technologów na temat bezpieczeństwa w sieci.
A OWASP Top Ten to jeden z projektów fundacji, którego szczegóły możesz znaleźć tutaj.

Testy penetracyjne w oparciu o OWASP Top Ten
Należy pamiętać, że priorytety a nawet zakres projektu zmienia się raz do roku dlatego należy pamiętać o tym definiując zakres testu.
Wykonujemy testy, których zakres określony został w projekcie, ale zawsze doprecyzowujemy zakres z Klientem. Nasi Kliencie często oczekują testów, które będą zgodne z OWASP Top Ten co zawsze wymaga doprecyzowania zakresu choćby w celu poznania przez nas faktycznych potrzeb.
Należy również pamiętać, że zakres zdefiniowany w projekcie Top Ten nie wyczerpuje zakresu, który może być realizowany podczas testów penetracyjnych a jedynie określa dziesięć krytycznych i najczęściej pojawiających się ryzyk w aplikacjach webowych.

Metodyki, którymi się posługujemy
Testy prowadzimy zgodnie z metodykami:
- P-PEN Wojskowej Akademii Technicznej – stawia duży nacisk na organizację realizacji testu i organizacji pracy. Metodyka P-PEN została sformułowana dla osiągnięcia następujących celów:
- Pozostawienia ekspertom swobody w działaniu przy jednoczesnym ujęciu ich działania w ścisłe formalne ramy;
- Opisania postępowania w ramach przedsięwzięcia testów penetracyjnych w stopniu możliwie sformalizowanym;
- Zapewnienia pełnego udokumentowania postępowania wykonawców w trakcie prowadzenia testów;
- Methodology for Penetration Testing – autorstwa jednego ze światowych liderów w zakresie przeprowadzania komercyjnych testów penetracyjnych, firmy Offensive Security – metoda skupiająca się na aspektach czysto technicznych, łącząca realia i wymagania, jakie znajdują się w branży militarnej względem wymagań panujących na rynku komercyjnym. Istotą testów prowadzonych według zaleceń Offensive Security jest maksymalizacja wysiłku w zakresie prowadzenia testu penetracyjnego, a racjonalizacja prac związanych z wytwarzaniem list umożliwiających ocenę ryzyka.
- Zaleceń Application Security Verification Standard 3.0.1 – stanowi standard weryfikacji bezpieczeństwa aplikacji oraz listę zgodności komponentów umożliwiających weryfikację zgodności z zaleceniami. Standard koncentruje się na normalizacji funkcjonalnych i niefunkcjonalnych wymagań bezpieczeństwa niezbędnych w trakcie projektowania, rozwoju i testowania nowoczesnych aplikacji internetowych. Standard zawiera również CWE (ang. Common Weakness Enumeration), które jest może być wykorzystane do identyfikacji informacji, takich jak prawdopodobieństwo i konsekwencje udanego wykorzystania podatności.
- NIST Special Publication 800-115, Technical Guide to Information Security Testing and Assessment – cyklicznie aktualizowana metoda testów National Institute of Standards and Technology Stanów Zjednoczonych.
Przedstawione powyżej metody doskonale się uzupełniają obejmując swym zasięgiem obszar organizacyjny, techniczny oraz zarządczy.

Kto prowadzi testy penetracyjne?
Testy penetracyjne wykonują pentesterzy ręcznie wspomagając się jedynie narzędziami do automatyzacji testów penetracyjnych. To dlatego, że automaty wskazują wiele fałszywych alarmów (ang. false positive) oraz bardzo niedokładnie testują aplikację. Na obecnym rozwoju technologicznym tylko człowiek jest w stanie przetestować aplikację we właściwy sposób. Kilku z nas ma już kilkanaście lat doświadczenia w pentestach (nie zawodowego tylko związanego z testami bezpieczeństwa) a pozostali to po prostu świetni fachowcy, co potwierdzą nasi klienci.

Korzyści z prowadzenia pentestów
Dzięki pentestom aplikacji webowych:
- minimalizujesz ryzyko wycieku danych, a tym samym kar wynikających z RODO, utraty wizerunku, utraty klientów,
- posiadasz dowód na rzetelność prowadzenia działalności w przypadku audytu,
- edukujesz developerów oraz testerów,
- zyskujesz opinię zewnętrznego podmiotu, który zawsze będzie bardziej wiarygodny w kwestii prowadzenia testów penetracyjnych.