Penetrační testy aplikací

Provádíme penetrační testování API, webových, mobilních či desktopových aplikací. Testy provádíme dle metodiky OWASP, která zahrnuje více než 90 oblastí zabezpečení a našich best practices.

Nezávazná poptávka
slice23

Testování aplikací

Aplikace jsou nepochybně základem byznysu. Při vývoji aplikací se dbá primárně na funkcionalitu, vzhled a jistě i na cenu. Proto se aplikace doporučují svěřit penetračnímu testerovi jak před nasazením do produkce, tak i pravidelně při jejich používání. Některé bezpečnostní nedostatky vycházejí už z chybného návrhu aplikace.

Chci otestovat aplikaci

Hlavní testované oblasti

  • Prověření možnosti úniku dat.
  • Možnosti zavlečení škodlivého kódu.
  • Zneužití nebo krádež identity uživatele.
  • Neoprávněný přístup do systému a k datům.
  • Statická analýza binární aplikace.
  • Možnosti jak obejít, nebo narušit funkční logiku aplikace.
  • Ochrana uživatelských účtů, politika hesel, zamykání účtů, proces registrace nebo existence testovacích účtů.

Nejčastější nálezy

  • Injection – propašování škodlivého kódu, vykrádání databází.
  • Nedostatečné zabezpečení uživatelských účtů.
  • Cross-Site Scripting (XSS) získání přihlašovacích údajů.
  • Nedostatečné ověřování uživatelských práv pro důležité akce.
  • Neaktualizovaný SW, zneužití známých zranitelností.
  • Přenos citlivých dat nezabezpečeným kanálem, ukládání v otevřené formě.

Black box testování

  • Zadavatel poskytuje pouze URL webové aplikace.
  • Penetrační tester mapuje prostředí stejnými metodami jako hacker bez know-how organizace.
  • Časově náročnější než testování white box.

White box testování

  • Zadavatel poskytuje zdrojové kódy, účty s administrátorskými právy a dokumentaci.
  • Toto testování se specializuje na hlubší problémy v aplikaci jako jsou nebezpečné řetězce dílčích zranitelností a chyby v logice aplikace.
Rectangle 36

Testování mobilních aplikací (iOS & Android)

Mobilní aplikace jsou známou slabou stránkou informačních systémů.

Díky penetračnímu testování mobilních aplikací mohou společnosti získat přehled o zranitelnosti zdrojových kódů, problémových místech a útočných vektorech na tyto aplikace.

Testujeme platformy Android i iOS.

Chci otestovat aplikaci

Hlavní testovaní scénáře

  • Insecure Data Storage - zaměření na možnosti úniku a zneužití dat v telefonu/tabletu.
  • Insufficient Cryptography - prověření bezpečnosti komunikace mezi aplikacemi a servery.
  • Insecure Authorization - zaměřuje se na dostatečnou autorizaci uživatele, ověřuje možnosti eskalace uživatelských práv.
  • Reverse Engineering - analýza kódu aplikace.

Nejčastější nálezy

  • Nedostatečná autorizace vůči API.
  • Slabé zabezpečení proti MITM (Man In The Middle) útokům.
  • Přístupové údaje uložené v kódu aplikace.
  • Nedostatečné zabezpečení citlivých údajů uložených v mobilních zařízeních.

Vyhodnocení penetračních testů

Po provedení každého penetračního testu následuje fáze zdokumentování celého průběhu testu, popis veškerých nalezených zranitelností s ohodnocením jejich závažnosti podle klasifikace CVSS.

Jedná se o technickou část zprávy, která je určena bezpečnostním manažerům, technikům a vývojářům aplikací, kdy ke každé zranitelnosti je také dáno doporučení, jak danému problému předejít nebo ho vyřešit.

V závěru reportu naleznete manažerské shrnutí, které srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

Na přání vám můžeme zaslat vzorovou výslednou zprávu.

Návrh bez názvu

Další penetrační testy Integra

Penetrační testy infrastruktury

Sociální inženýrství

Kontaktujte nás

Napište nám na kontaktní formulář a náš specialista se vám ozve do 24 hodin.

Můžeme se společně také sekat v našich kancelářích v Praze nebo Brně.

Kontaktní formulář

IČO: 24216941 / DIČ: CZ24216941

U Sluncové 666/12a
186 00, Praha 8

Contracting IT specialistů

Penetrační testy

Vývoj SW na míru

Pracovní příležitosti

Naši klienti

Více o nás

Integra Czech Republic, s.r.o
info@integra.cz
+420 214 214 602

© 2024 ALL RIGHTS RESERVED

Instagram

Etický kodex INTEGRA

Request for sample report of test results

Žadost o vzorovou zprávu výsledků z testu