Penetrační testy aplikací

Provádíme hloubkové penetrační testy webových, mobilních (iOS, Android), desktopových aplikací a API.

Využíváme metodiku OWASP+ vlastní osvědčené postupy pro maximalizaci ochrany.

Každý rok provádíme testování 200+ aplikací pro klienty napříč širokým spektrem odvětví.

Bezplatná konzultace
Integra | Profesionální penetrační testy.

Jaké hrozby penetrační testy aplikací prověřují?

Penetrační testy aplikací se zaměřují na identifikaci bezpečnostních slabin, které mohou vzniknout nesprávnou konfigurací, chybnými procesy zpracování dat nebo neoptimální implementací. Zvláštní důraz je kladen na odhalení rizik spojených s únikem dat, neoprávněným přístupem, krádeží identity uživatele, eskalací oprávnění a manipulací s citlivými informacemi.

Testování zahrnuje komplexní prověření bezpečnosti všech funkcí, autentizačních a autorizačních mechanismů, obchodní logiky a způsobu práce s daty v rámci testovaných aplikací. 

  • Prověření možnosti úniku dat
  • Možnosti zavlečení škodlivého kódu
  • Zneužití nebo krádež identity uživatele
  • Neoprávněný přístup do systému a k datům
  • Statická analýza binární aplikace
  • Možnosti jak obejít, nebo narušit funkční logiku aplikace
  • Ochrana uživatelských účtů, politika hesel, zamykání účtů, proces registrace nebo existence testovacích účtů

Nedostatečná pozornost věnovaná bezpečnosti během vývoje bývá častým zdrojem rizik. 

Doporučujeme testy před uvedením do provozu i pravidelně během životního cyklu aplikace.

Nejčastější nálezy

  • Injection – propašování škodlivého kódu, vykrádání databází
  • Nedostatečné zabezpečení uživatelských účtů
  • Cross-Site Scripting (XSS) získání přihlašovacích údajů
  • Nedostatečné ověřování uživatelských práv pro důležité akce
  • Neaktualizovaný SW, zneužití známých zranitelností
  • Přenos citlivých dat nezabezpečeným kanálem, ukládání v otevřené formě

Testovací scénáře

Black box

  • Testování bez znalostí o fungování aplikace, simulující útok zvenčí
  • Tester nemá přístup k dokumentaci ani zdrojovým kódům
  • Vhodné pro detekci zranitelností infrastruktury a testování bezpečnosti autorizačního formuláře
  • Rychlé, efektivní a časově nejméně náročné, ale s omezeným scopem testování

Grey box

  • Black box test +
  • Testování aplikace do hloubky z pohledu reálného útočníka, a to jak bez autentizace, tak autentizací
  • Testerovi je zpřístupněna dokumentace, návody, uživatelské účty do aplikace a support ze strany zadavatele
  • Optimální forma testování aplikací, kdy se testují všechny vektory útoků
  • Střední časová náročnost, závisí na komplexnosti aplikace a zvolené metodologii

White box

  • Grey box test +
  • Testy s plným přístupem ke zdrojovému kódu aplikace
  • Potřeba důkladné znalosti zdrojového kódu a vnitřní architektury aplikace
  • Nejnáročnější z hlediska času a zdrojů, vzhledem k detailnosti a rozsahu testování
blur circle
Ellipse 15
blur circle

Kontaktujte nás

Napište nám na kontaktní formulář a náš specialista se vám ozve do 24 hodin.

Můžeme se společně také sekat v našich kancelářích v Praze nebo Brně.

Kontaktní formulář

IČO: 24216941 / DIČ: CZ24216941

U Sluncové 666/12a
186 00, Praha 8

Contracting IT specialistů

Penetrační testy

Vývoj SW na míru

Kariéra

Naši klienti

Více o nás

Integra Czech Republic, s.r.o
info@integra.cz
+420 214 214 602

© 2024 ALL RIGHTS RESERVED

Instagram

Etický kodex INTEGRA

Request for sample report of test results

Žadost o vzorovou zprávu výsledků z testu