TESTY PENETRACYJNE

WEBOWE

Testy aplikacji webowych wy­ko­nu­je­my me­to­dą Black Box oraz Gray Box.

Efektem przeprowadzonych prac jest raport dostarczany w formie elektro­nicz­nej, za­wie­ra­jący opis i do­wo­dy wys­tę­po­wania wy­kry­tych luk, wska­zów­ki, jak można te luki usunąć oraz wska­za­nie poten­cjalnych skut­ków ich wykorzystania.

Wykorzystana podczas testów meto­dyka uwzględnia najlepsze prak­ty­ki opi­sa­ne w do­ku­men­cie „OWASP Testing Guide V4”. 

Przeprowadzone testy mają na celu wy­kry­cie błędów pro­g­ra­mis­tycz­nych, kon­fi­gu­ra­cyj­nych i lo­gicz­nych, zaz­wy­czaj bez dos­tę­pu do kodu apli­kacji lub pli­ków kon­figuracyjnych.

MOBILNE
 

Testy aplikacji mobilnych wykonujemy metodą Black Box oraz White Box. 

Audyt ma na celu sprawdzenie po­ziomu bezpie­czeństwa apli­kacji mobilnej, komuni­kacji pomiędzy apli­kacją a ser­werem backendowym oraz danych prze­cho­wy­wanych lokal­nie przez apli­kację. 

Testy typu black-box charak­tery­zują się niskim poziomem począt­kowej wiedzy audy­tora na temat ba­danej apli­kacji. Na czas audytu utworzone zos­tają konta testowe, które odwzo­rowują poszcze­gólne poziomy uprawnień. 

Przeprowadzone testy mają na celu wykry­cie błędów progra­mis­tycznych, konfigu­ra­cyjnych i lo­gicz­nych zwią­zanych z działaniem apli­kacji mo­bilnej bez dostępu do pierwotnego kodu źród­łowego apli­kacji. 

Wykorzystana podczas testów meto­dyka uwzględnia wery­fikację za­gro­żeń przedsta­wionych w do­kumencie „OWASP Top 10 Mobile Risks”. 

Efektem przepro­wa­dzonych  prac jest ra­port,  dostar­czany  w  formie elektro­nicznej,  zawie­ra­jący opis i  dowody  wys­tę­po­wania

wy­kry­tych luk oraz wska­zówki, jak można te luki usunąć.

GRUBY KLIENT

Testy aplikacji typu gruby klient mają na celu sprawdzenie bezpieczeństwa oraz identyfikację zagrożeń zwią­za­nych z tego ro­dza­ju opro­gramo­waniem.

Na przebieg testu składają się manu­alna weryfi­kacja poszcze­gólnych klas podat­ności oraz, jeśli jest to możliwe, ba­danie auto­matyczne, prze­pro­wa­dzane równo­legle. Apli­kacja pod­da­wana jest ana­lizie sta­tycz­nej oraz ana­lizie dyna­micznej.

        Metody testowania:
  • Testy dynamiczne np.: fuzzing, ingerencja w ruch sieciowy, wstrzyk­nięcia, ba­da­nie zabez­pieczeń krypto­graficz­nych, de­bugowanie aplikacji. 

  • Testy komponentów systemu operacyjnego np.: przegląd logów, danych aplikacji, pro­ce­sów, pa­mięci oraz klu­czy re­jest­ru powią­zanych z aplikacją. 

  • Testy statyczne np.: reverse engineering, ana­liza dos­tar­czo­nych binariów. 

Efektem  przeprowadzonych  prac  jest raport  dostarczany  w  formie elektro­nicznej,  zawie­rający opis i do­wody wys­tę­po­wania wy­kry­tych luk oraz wska­zówki, jak można te luki usunąć. Jeśli aplikacja typu gruby klient ko­rzys­ta z serwisu API, jest on rów­nież ana­lizowany. W tym przy­padku wyko­rzys­tane jest po­dejście eks­perckie, nawią­zujące do naj­lepszych praktyk ryn­kowych oraz standardu weryfi­kacji bezpieczeństwa apli­kacji web OWASP Appli­cation Security Verifi­cation Standard (ASVS).

        W trakcie testu analizowane są następujące obszary:
  • architektura aplikacji, 

  • przechowywanie danych, 

  • zastosowanie kryptografii, 

  • mechanizmy uwierzytelniania i zarządzania sesją, 

  • komunikacja sieciowa aplikacji, 

  • mechanizmy interakcji aplikacji z systemem operacyjnym, 

  • konfiguracja aplikacji, 

  • zabezpieczenia aplikacji przeciwko inżynierii wstecznej.

INFRASTRUKTURA

ZEWNĘTRZNA I WEWNĘTRZNA

Podczas testów badane są wszy­s­t­kie od­na­le­zi­one w pod­sieci urzą­dzenia pod kątem wy­krycia podat­ności czy błędów kon­fi­gura­cyj­nych, poz­wa­la­jących na prze­jęcie kon­troli nad ba­da­nym kom­po­nen­tem. Tes­to­wana jest rów­nież moż­liwość prze­pro­wa­dze­nia sku­tecz­nego ataku DoS w celu za­bu­rze­nia po­p­raw­nego funkcjo­no­wania hostów w sieci lo­kal­nej. W przy­pad­ku wy­ko­rzys­ty­wania przez klienta prze­łącz­ników ni­szowej marki, może to skut­ko­wać awarią sieci pod­czas prób wy­ko­na­nia pros­tych ataków, takich jak ARP spoofing. 

Celem tych testów, przede wszyst­kim, jest określenie widoczności hos­tów wraz z u­słu­gami, któ­re mogą zos­tać za­a­ta­ko­wa­ne przez o­so­by znaj­du­ją­ce się fi­zycz­nie w sieci. Tes­ty są ogól­nie u­kie­run­ko­wa­ne na skom­pro­mi­to­wa­nie jak naj­więk­szej licz­by urzą­dzeń w sieci. 

Testy infrastruktury mają na celu weryfikację bezpieczeństwa usług i sys­te­mów u­dos­tęp­nio­nych dla użyt­kow­ni­ków sieci Inter­net (zew­nętrz­nej), jak i sieci LAN (wew­nętrznej). 

W celu realizacji testu infrastruktury zewnętrznej zastosowane jest po­dej­ście eksperckie, nawiązujące do najlepszych praktyk rynkowych, CIS Secuity Benchmarks, DISA STIGs, OSSTMM, PTES. 

Na przebieg testu składają się ba­da­nie automatyczne, mające na celu zidentyfikowanie jak największej liczby podatności oraz manualna weryfikacja, mająca na celu pot­wier­dze­nie istnienia podatności oraz ich wykorzystanie (tzw. ex­ploi­tację).

W trakcie testu wykonywane są następujące czynności:

  • Identyfikacja udostępnionych usług.

  • Identyfikacja podatności we wcześniej zidentyfikowanych usługach. 

  • Weryfikacja zidentyfikowanych podatności.

  • Próby wykorzystania ziden­ty­fi­ko­wa­nych podatności (jeśli zostało to ustalone w zakresie testu).