TESTY PENETRACYJNE
WEBOWE
Testy aplikacji webowych wykonujemy metodą Black Box oraz Gray Box.
Efektem przeprowadzonych prac jest raport dostarczany w formie elektronicznej, zawierający opis i dowody występowania wykrytych luk, wskazówki, jak można te luki usunąć oraz wskazanie potencjalnych skutków ich wykorzystania.
Wykorzystana podczas testów metodyka uwzględnia najlepsze praktyki opisane w dokumencie „OWASP Testing Guide V4”.
Przeprowadzone testy mają na celu wykrycie błędów programistycznych, konfiguracyjnych i logicznych, zazwyczaj bez dostępu do kodu aplikacji lub plików konfiguracyjnych.
MOBILNE
Testy aplikacji mobilnych wykonujemy metodą Black Box oraz White Box.
Audyt ma na celu sprawdzenie poziomu bezpieczeństwa aplikacji mobilnej, komunikacji pomiędzy aplikacją a serwerem backendowym oraz danych przechowywanych lokalnie przez aplikację.
Testy typu black-box charakteryzują się niskim poziomem początkowej wiedzy audytora na temat badanej aplikacji. Na czas audytu utworzone zostają konta testowe, które odwzorowują poszczególne poziomy uprawnień.
Przeprowadzone testy mają na celu wykrycie błędów programistycznych, konfiguracyjnych i logicznych związanych z działaniem aplikacji mobilnej bez dostępu do pierwotnego kodu źródłowego aplikacji.
Wykorzystana podczas testów metodyka uwzględnia weryfikację zagrożeń przedstawionych w dokumencie „OWASP Top 10 Mobile Risks”.
Efektem przeprowadzonych prac jest raport, dostarczany w formie elektronicznej, zawierający opis i dowody występowania
wykrytych luk oraz wskazówki, jak można te luki usunąć.
GRUBY KLIENT
Testy aplikacji typu gruby klient mają na celu sprawdzenie bezpieczeństwa oraz identyfikację zagrożeń związanych z tego rodzaju oprogramowaniem.
Na przebieg testu składają się manualna weryfikacja poszczególnych klas podatności oraz, jeśli jest to możliwe, badanie automatyczne, przeprowadzane równolegle. Aplikacja poddawana jest analizie statycznej oraz analizie dynamicznej.
Metody testowania:
-
Testy dynamiczne np.: fuzzing, ingerencja w ruch sieciowy, wstrzyknięcia, badanie zabezpieczeń kryptograficznych, debugowanie aplikacji.
-
Testy komponentów systemu operacyjnego np.: przegląd logów, danych aplikacji, procesów, pamięci oraz kluczy rejestru powiązanych z aplikacją.
-
Testy statyczne np.: reverse engineering, analiza dostarczonych binariów.
Efektem przeprowadzonych prac jest raport dostarczany w formie elektronicznej, zawierający opis i dowody występowania wykrytych luk oraz wskazówki, jak można te luki usunąć. Jeśli aplikacja typu gruby klient korzysta z serwisu API, jest on również analizowany. W tym przypadku wykorzystane jest podejście eksperckie, nawiązujące do najlepszych praktyk rynkowych oraz standardu weryfikacji bezpieczeństwa aplikacji web OWASP Application Security Verification Standard (ASVS).
W trakcie testu analizowane są następujące obszary:
-
architektura aplikacji,
-
przechowywanie danych,
-
zastosowanie kryptografii,
-
mechanizmy uwierzytelniania i zarządzania sesją,
-
komunikacja sieciowa aplikacji,
-
mechanizmy interakcji aplikacji z systemem operacyjnym,
-
konfiguracja aplikacji,
-
zabezpieczenia aplikacji przeciwko inżynierii wstecznej.