Penetrační test webové aplikace | Cyber Rangers

služby

Penetrační test webové aplikace

...ať odhalíte slabiny dříve, než je zneužijí hackeři

Webové stránky a aplikace jsou klíčovým prostředkem organizace. Některé slouží pouze k prezentaci a jiné přinášejí obchodní zázemí společnosti. Každá z nich však může být zneužita. V některých případech může dojít jen k poškození reputace, jindy může být tato aplikace využita pro vstup do interních sítí organizací. Zneužití webové aplikace však může způsobit nemalé následky v objednávkových systémech, či v systémech přímo propojených s vaší webovou aplikací.

Provedením penetračního testu webových aplikací odhalíte slabiny dříve, než je zneužije skutečný útočník. Analyzujeme aplikaci z pohledu reálných hrozeb, a to od běžných zranitelností až po sofistikované techniky útočníků. Neomezujeme se jen na automatizované nástroje, ale jdeme do hloubky. Po provedení penetračního testu webové aplikace získáte přehled o zranitelnostech a jasná doporučení pro jejich odstranění.

Vybrat si u nás můžete z uvedených variant:

  • Malá webová aplikace
  • Střední webová aplikace
  • Velká webová aplikace

Co se službou získáte

/0 1

Komplexní penetrační test webových stránek nebo webové aplikace.

/0 2

Penetrační test realizovaný nad rámec mezinárodně uznávaných standardů OWASP ASVS.

/0 3

Jasné hodnocení zranitelností, které je souměřitelné s již dříve provedenými nebo s budoucími testy, jelikož využíváme mezinárodně uznávaného standardu FIRST CVSS.

/0 4

Můžete si zvolit k testování jen část webové aplikaci (specifické moduly) nebo nás nechat prověřit aplikaci jako celek.

/0 5

Test můžeme realizovat jako black box (jako skutečný útočník bez znalosti) nebo jako gray box (se znalostí interní logiky, s informacemi od vašeho vývojového nebo IT týmu).

/0 6

Máte možnost analyzovat veškeré naše útočné metody v lozích, protože víte přesný den a čas prováděného testování.

/0 7

Jistotu, že ve vašich systémech nenapácháme škody. V případě zájmu můžeme místo ostrého provozu testovat kopii prostředí.

/0 8

Podrobný report postavený na mezinárodních standardech splňující požadavky lokálních regulátorů (zejména doporučení NUKIB) s manažerským shrnutím a konkrétními doporučeními, jak bezpečnost zlepšit.

Náš standard kvality

Není penetrační test jako penetrační test

  • Často se omezuje na sken zranitelností, u kterého ale chybí simulace prolomení prostředí.
  • Často se provádí podle standardizovaných postupů, ale přemýšlení útočníků jde za hranice standardizovaných postů.
  • Mnozí se chlubí zjištěním zranitelnosti s globálním přesahem, kterou lze klasifikovat jako 0-day zranitelnost

Jak to děláme my

  • Hodnotíme dle celosvětově uznávaného systému FIRST CVSS a taktéž subjektivně dle kontextu a našich zkušeností
  • Nehledáme jen známé zranitelnosti, ale soustředíme se na miskonfigurace nebo nestandartní postupy, které by zvolil i běžný útočník
  • Využíváme zkušenosti z desítek námi realizovaných penetračních testů

  • Jdeme do hloubky a k podstatě problému, při tom však přemýšlíme i nad celou cestou zneužití objevené zranitelnosti
  • Ctíme veškeré etické zásady (kodexy) a nikdy nezveřejňujeme identifikované zranitelnosti, ani když jsou považovány za 0-day zranitelnosti (těchto zranitelností jsme identifikovali desítky, ale nejsou zveřejněny v rámci CVE databází)

Spolupracujeme