/  Услуги  /  Пенетрейшън тест на уеб приложение

Пенетрейшън тест на уеб приложение

(Web penetration test)


В днешно време уеб приложенията са сред най-често използваните форми на софтуер, които са склонни да бъдат експлоатирани, използвайки сравнително прости уязвимости, за да получат достъп до частни активи. Уеб приложенията също се считат за едно от най-разпространените средства за събиране, съхранение, управление и преразпределение на данни. Ето защо е от съществено значение една от основните му цели да бъде сигурността на приложението.

Статистически, над 80% от всички известни компрометирания се дължат на експлоатираните слабости в уеб приложенията. В много случаи уязвимостите, които водят до успешно компрометиране на системата, са напълно игнорирани от конвенционалните и автоматизирани методи за тестване.

От друга страна, и в някои случаи се установяват уязвимости, които неправилно се считат за неприкосновени, поради наличието на защитни технологии.

Услугата съчетава както автоматизирано, така и ръчно средство за тестване (последното се извършва с приоритет). За да се идентифицира потенциалната атакувана цел, се извършва разузнаване. Тази фаза е част от методологията за тестване за проникване, която включва следните фази:

  • Разузнаване
  • Сканиране
  • Получаване на достъп
  • Ескалация на привилегиите

Заедно с фазите, специалистите са задължени да познават и метода за достъп:

  • Black box тест
  • Необходими са нулеви познания за активите на компанията

  • Gray box тест
  • Специалистите имат ограничена информация и определени пълномощия за ограничен достъп до системата, предоставени от клиента

  • White box тест
  • Специалистите получават пълен достъп до изходния код на системата, административните профили, както и всяка друга информация, свързана със системите, които са в обхвата на тестване

Тестовете, извършени от TAD GROUP, симулират злонамерена насочена атака. В края на теста за проникване се изготвя доклад, който предоставя лесно разбираемо описание на констатациите, както и препоръки за премахването на уязвимостите.

Оценките се извършват в съответствие с препоръките, описани в NIST SP 800-115.