Testy penetracyjne

Weryfikujemy bezpieczeństwo aplikacji

Dlaczego to my powinniśmy wykonać testy dla ciebie?

Mamy wieloletnie doświadczenie

Posiadamy wiedzę ekspercką potwierdzoną sukcesami w pracy z wieloma znanymi Klientami.

Sprawdź nasze CVE oraz Klientów.

Mamy świetnych pentesterów

Nasi ludzie posiadają między innymi certyfikaty: Offensive Security Certified Professional (OSCP), Certified Ethical Hacker (CEH), Fortinet Network Security Expert i wiele innych

Dla kogo prowadzimy testy?

Pracujemy dla Klientów wszystkich sektorów: publicznego, medycznego, automotive, utilities, media, przemysłu ciężkiego. Pomagamy podmiotom średnim i dużym spokojnie prowadzić biznes.

Co testujemy?

Aplikacje internetowe (webowe)

Wykonujemy testy penetracyjne aplikacji webowych WordPress, Drupal, Joomla, Magento i wiele innych systemów gotowych. Ale nade wszystko, testujemy systemy dedykowane stworzone na wyłączny użytek naszych Klientów.

Webaplikacje to obecnie najczęściej występujący rodzaj systemów informatycznych i większość testów które prowadzimy, dotyczy technologii webowych, czyli opartych o przeglądarkę internetową (Google Chrome, Opera, Firefox Mozilla, Microsoft Edge).

Testy prowadzimy w oparciu o najlepszą wiedzę i doświadczenie własne oraz zgodnie z metodykami OWASP, OSSTMM, NIST.

Systemy operacyjne Windows, Linux

Prowadzimy testy penetracyjne systemów operacyjnych (rodzina Windows Server i Desktop, Linux, Unix).

Dzięki testom możliwe jest określenie najsłabszych punktów systemu umożliwiającego działanie pozostałych podsystemów i aplikacji (baz danych, systemów dziedzinowych, usług serwera).

Testy systemów prowadzimy w oparciu o wiele różnych metod, które stosujemy łącznie. Dzięki temu raport jest zazwyczaj bardzo bogatym oraz rzetelnym źródłem informacji.

Firmware (aplikacje wbudowane)

Prowadzimy testy penetracyjne oprogramowania niskopoziomowego przygotowanego w C, C++.

Firmware to rodzaj oprogramowania wbudowany w urządzenia. Typowym przykładem jest BIOS płyty głównej lub sterownik macierzy dyskowych RAID.

Ekspresy do kawy, system pomiaru ciśnienia w oponach samochodu, piekarnik, słup oświetleniowy ma swój firmware, który często zawiera błędy krytyczne umożliwiające nawet uszkodzenie urządzenia.

Prowadzimy testy dla każdego rodzaju firmware od przemysłu ciężkiego, przez utilities, automotive po urządzenia Przemysłu 4.0.

Aplikacje mobilne iOS, Android

Wykonujemy testy penetracyjne aplikacji mobilnych.

To obecnie bardzo popularny rodzaj aplikacji, tuż po aplikacjach webowych, ponieważ rynek urządzeń mobilnych rozwija się najszybciej.

Wykonujemy wiele testów aplikacji mobilnych dla platform Google Android oraz Apple iOS.

Testy prowadzimy w oparciu o najlepszą wiedzę i doświadczenie własne oraz zgodnie z założeniami OWASP MSTG (Mobile Security Testing Guide).

Jak testujemy?

Atak kontrolowany

W porozumieniu i za wiedzą klienta na przygotowanym środowisku testowym, jeden  do jeden odpowiadającym środowisku produkcyjnemu. Wyłącznie na tym środowisku prowadzimy działania mające na celu odnalezienie podatności.

Zazwyczaj udaje nam się znaleźć podatności i przygotowujemy dla każdej z nich propozycję rozwiązania przez zastosowanie różnych metod, niekoniecznie technicznych.

Black, Grey, White box

W zależności od ustaleń pracujemy różnymi metodami:

black box – posiadając minimalną wiedzę na temat testowanego systemu, co najbardziej odpowiada rzeczywistym warunkom, w których dochodzi do włamania.

grey box – posiadając wiedzę w wybranym obszarze systemu np.: dostęp do konta użytkownika, administratora.

white box – posiadając pełną wiedzę i dostęp do dokumentacji systemu, co pozwala również na wykonanie przeglądu kodu źródłowego i często jest przez nas łączone. Ten wariant jest najbardziej efektywny ponieważ testowany system przeglądany jest w całości również „od środka”.

Raport

Nasz raport zawiera zawsze propozycje albo gotowe rozwiązania umożliwiające naprawę podatności wraz z informacją o ocenie zagrożenia w skali od 1 do 10, dopasowaną do realiów Klienta.

Każda podatność jest określona poprzez opis merytoryczny oraz szacowanie ryzyka, również, po uzgodnieniu z Klientem  w obszarze wizerunkowym, organizacyjnym, formalnym  i finansowym.