Testování webových aplikací je zahájeno seznámením se se specifickými požadavky konkrétního klienta. Při testování se během přidělené časové dotace identifikují všechny zranitelnosti, zdokumentuje se způsob zneužití jednotlivých nalezených zranitelností a způsob získání neoprávněného uživatelského nebo administrátorského přístupu na server.
Co nabízíme
V závislosti na stanovených cílech nabízíme celkem tři možnosti penetračního testování aplikací. Všechny možnosti s Vámi budeme konzultovat, abychom našli a vybrali variantu vhodnou právě pro Vás.
- Black box – zadavatel poskytuje pouze URL adresu webové aplikace. Tester mapuje testované prostředí stejnými metodami, které by byl nucen použít útočník bez vazby na organizaci klienta.
- White box – zadavatel poskytuje veškerou dokumentaci k testované webové aplikaci, zdrojový kód a účet s administrátorskými právy. Tento přístup dokáže zefektivnit vývoj kvalitně zabezpečené aplikace. Umožňuje odhalit hlubší problémy: nebezpečné řetězce dílčích zranitelností a chyby v logice aplikace.
- Grey box – kompromisní přístup, který oproti black boxu umožňuje penetrační testování provést rychleji a do větší hloubky. V tomto případě doporučíme dle povahy testované aplikace, jaký typ informací by měl klient poskytnout.
Výhody
- Automatizované testování a skenování za použití komerčních a open-source nástrojů;
- Manuální testování výstupů zjištěných při automatizovaném testování;
- Detailní testování standardně dle metodologie OWASP;
- Výčet zranitelností klasifikovaných dle rizikovosti;
- Detailní popis zranitelností;
- Podrobně zdokumentovaný postup možného zneužití identifikovaných zranitelností doplněný snímky obrazovky;
- Kompletní zdrojové kódy použitých skriptů a všechny použité příkazy, aby bylo možné veškeré kroky zopakovat;
- Instrukce pro Vaše IT oddělení k provedení změn a oprav k odstranění bezpečnostních rizik.
Pokud máte zájem o cenovou nabídku, kontaktujte nás. Pro odhadnutí celkové ceny bude sjednán online meeting.