Testy penetracyjne webaplikacji

Testy penetracyjne webaplikacji

Najbardziej rozpowszechniony oraz najbardziej podatne i najbardziej rozbudowany rodzaj aplikacji. W chwili obecnej aplikacje oparte o przeglądarkę są najczęściej wykorzystywane do prowadzenia wszelkiego rodzaju czynności.

Dlatego dbałość o bezpieczeństwo danych przetwarzanych w aplikacjach webowych jest krytyczna nie tylko dla biznesu ale dla sektora publiczne również.

OWASP Top 10 – ale o co chodzi?

Cały Internet huczy od OWASPów. Ludzie piszą, cytują wskazują, określenie pojawia się w przetargach publicznych, ale właściwie dlaczego i o co chodzi z OWASP?

The Open Web Application Security Project® (OWASP) jest fundacją non-profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. Dzięki prowadzonym przez społeczność projektom oprogramowania open source, setkom lokalnych oddziałów na całym świecie, dziesiątkom tysięcy członków oraz wiodącym konferencjom edukacyjnym i szkoleniowym, Fundacja OWASP jest źródłem wiedzy dla programistów i technologów na temat bezpieczeństwa w sieci.

A OWASP Top Ten to jeden z projektów fundacji, którego szczegóły możesz znaleźć tutaj.

Testy penetracyjne w oparciu o OWASP Top Ten

Należy pamiętać, że priorytety a nawet zakres projektu zmienia się raz do roku dlatego należy pamiętać o tym definiując zakres testu.

Wykonujemy testy, których zakres określony został w projekcie, ale zawsze doprecyzowujemy zakres z Klientem. Nasi Kliencie często oczekują testów, które będą zgodne z OWASP Top Ten co zawsze wymaga doprecyzowania zakresu choćby w celu poznania przez nas faktycznych potrzeb.

Należy również pamiętać, że zakres zdefiniowany w projekcie Top Ten nie wyczerpuje zakresu, który może być realizowany podczas testów penetracyjnych a jedynie określa dziesięć krytycznych i najczęściej pojawiających się ryzyk w aplikacjach webowych.

Metodyki, którymi się posługujemy

Testy prowadzimy zgodnie z metodykami:

  • P-PEN Wojskowej Akademii Technicznej – stawia duży nacisk na organizację realizacji testu i organizacji pracy. Metodyka P-PEN została sformułowana dla osiągnięcia następujących celów:
    • Pozostawienia ekspertom swobody w działaniu przy jednoczesnym ujęciu ich działania w ścisłe formalne ramy;
    • Opisania postępowania  w  ramach  przedsięwzięcia  testów  penetracyjnych  w  stopniu możliwie sformalizowanym;
    • Zapewnienia pełnego  udokumentowania  postępowania  wykonawców  w  trakcie prowadzenia testów;
  • Methodology for Penetration Testing – autorstwa jednego ze światowych liderów w zakresie przeprowadzania komercyjnych testów penetracyjnych, firmy Offensive Security – metoda skupiająca się na aspektach czysto technicznych, łącząca realia i wymagania, jakie znajdują się w branży militarnej względem wymagań panujących na rynku komercyjnym. Istotą testów prowadzonych według zaleceń Offensive Security jest maksymalizacja wysiłku w zakresie prowadzenia testu penetracyjnego, a racjonalizacja prac związanych z wytwarzaniem list umożliwiających ocenę ryzyka.
  • Zaleceń Application Security Verification Standard 3.0.1 – stanowi standard weryfikacji bezpieczeństwa aplikacji oraz listę zgodności komponentów umożliwiających weryfikację zgodności z zaleceniami. Standard koncentruje  się  na  normalizacji funkcjonalnych  i niefunkcjonalnych  wymagań  bezpieczeństwa  niezbędnych  w  trakcie projektowania, rozwoju i testowania nowoczesnych aplikacji internetowych. Standard zawiera również CWE (ang.  Common Weakness  Enumeration), które jest może  być  wykorzystane  do  identyfikacji informacji,  takich  jak  prawdopodobieństwo  i  konsekwencje  udanego  wykorzystania podatności.
  • NIST Special Publication 800-115, Technical Guide to Information Security Testing and Assessment – cyklicznie aktualizowana metoda testów National Institute of Standards and Technology Stanów Zjednoczonych.

Przedstawione powyżej metody doskonale się uzupełniają obejmując swym zasięgiem obszar organizacyjny, techniczny oraz zarządczy.

Kto prowadzi testy penetracyjne?

Testy penetracyjne wykonują pentesterzy ręcznie wspomagając się jedynie narzędziami do automatyzacji testów penetracyjnych. To dlatego, że automaty wskazują wiele fałszywych alarmów (ang. false positive) oraz bardzo niedokładnie testują aplikację. Na obecnym rozwoju technologicznym tylko człowiek jest w stanie przetestować aplikację we właściwy sposób. Kilku z nas ma już kilkanaście lat doświadczenia w pentestach (nie zawodowego tylko związanego z testami bezpieczeństwa) a pozostali to po prostu świetni fachowcy, co potwierdzą nasi klienci.

Korzyści z prowadzenia pentestów

Dzięki pentestom aplikacji webowych:

  • minimalizujesz ryzyko wycieku danych, a tym samym kar wynikających z RODO, utraty wizerunku, utraty klientów,
  • posiadasz dowód na rzetelność prowadzenia działalności w przypadku audytu,
  • edukujesz developerów oraz testerów,
  • zyskujesz opinię zewnętrznego podmiotu, który zawsze będzie bardziej wiarygodny w kwestii prowadzenia testów penetracyjnych.