Penetrační testy aplikací

Provádíme penetrační testování API, webových, mobilních či desktopových aplikací. Testy provádíme dle metodiky OWASP, která zahrnuje více než 90 oblastí zabezpečení a našich best practices.

Chci penetrační testy
zobrazit více
Rectangle 41
Rectangle 36

Testování aplikací

Aplikace jsou nepochybně základem byznysu. Při vývoji aplikací se dbá primárně na funkcionalitu, vzhled a jistě i na cenu. Proto se aplikace doporučují svěřit penetračnímu testerovi jak před nasazením do produkce, tak i pravidelně při jejich používání. Některé bezpečnostní nedostatky vycházejí už z chybného návrhu aplikace.

Chci testování aplikací

Hlavní testované oblasti

  • Prověření možnosti úniku dat.
  • Možnosti zavlečení škodlivého kódu.
  • Zneužití nebo krádež identity uživatele.
  • Neoprávněný přístup do systému a k datům.
  • Statická analýza binární aplikace.
  • Možnosti jak obejít, nebo narušit funkční logiku aplikace.
  • Ochrana uživatelských účtů, politika hesel, zamykání účtů, proces registrace nebo existence testovacích účtů.

Nejčastější nálezy

  • Injection – propašování škodlivého kódu, vykrádání databází.
  • Nedostatečné zabezpečení uživatelských účtů.
  • Cross-Site Scripting (XSS) získání přihlašovacích údajů.
  • Nedostatečné ověřování uživatelských práv pro důležité akce.
  • Neaktualizovaný SW, zneužití známých zranitelností.
  • Přenos citlivých dat nezabezpečeným kanálem, ukládání v otevřené formě.

Black box testování

  • Zadavatel poskytuje pouze URL webové aplikace.
  • Penetrační tester mapuje prostředí stejnými metodami jako hacker bez know-how organizace.
  • Časově náročnější než testování white box.

White box testování

  • Zadavatel poskytuje zdrojové kódy, účty s administrátorskými právy a dokumentaci.
  • Toto testování se specializuje na hlubší problémy v aplikaci jako jsou nebezpečné řetězce dílčích zranitelností a chyby v logice aplikace.
Rectangle 36

Testování mobilních aplikací (iOS & Android)

Mobilní aplikace jsou známou slabou stránkou informačních systémů.

Díky penetračnímu testování mobilních aplikací mohou společnosti získat přehled o zranitelnosti zdrojových kódů, problémových místech a útočných vektorech na tyto aplikace.

Testujeme platformy Android i iOS.

Chci testování aplikací

Hlavní testovaní scénáře

  • Insecure Data Storage - zaměření na možnosti úniku a zneužití dat v telefonu/tabletu.
  • Insufficient Cryptography - prověření bezpečnosti komunikace mezi aplikacemi a servery.
  • Insecure Authorization - zaměřuje se na dostatečnou autorizaci uživatele, ověřuje možnosti eskalace uživatelských práv.
  • Reverse Engineering - analýza kódu aplikace.

Nejčastější nálezy

  • Nedostatečná autorizace vůči API.
  • Slabé zabezpečení proti MITM (Man In The Middle) útokům.
  • Přístupové údaje uložené v kódu aplikace.
  • Nedostatečné zabezpečení citlivých údajů uložených v mobilních zařízeních.

Vyhodnocení penetračních testů

Po provedení každého penetračního testu následuje fáze zdokumentování celého průběhu testu, popis veškerých nalezených zranitelností s ohodnocením jejich závažnosti podle klasifikace CVSS.

Jedná se o technickou část zprávy, která je určena bezpečnostním manažerům, technikům a vývojářům aplikací, kdy ke každé zranitelnosti je také dáno doporučení, jak danému problému předejít nebo ho vyřešit.

V závěru reportu naleznete manažerské shrnutí, které srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

Na přání vám můžeme zaslat vzorovou výslednou zprávu.

Chci penetrační testy
Rectangle 36 (1)

Další penetrační testy Integra

Penetrační testy infrastruktury

Sociální inženýrství

Chci penetrační testy

Můžeme Vám zaslat ukázku naší práce – vzorový report z testu.

Rádi s vámi zkonzultujeme vaši situaci a připravíme nezávaznou nabídku. 

Zastavte se za námi do našich kancelářích v Praze, Brně nebo v Bratislavě.

Kontaktovat

IČO: 24216941 / DIČ: CZ24216941

U Sluncové 666/12a
186 00, Praha 8
Česká republika

Obchodní oddělení
sales@integra.cz
+420 214 214 602

O nás
Oblasti
Reference

Aktuality
Kontakt
Compliance

© 2023 ALL RIGHTS RESERVED
Zásady etického a protikorupčního jednání

Request for sample report of test results

Žadost o vzorovou zprávu výsledků z testu