Testy penetracyjne aplikacji WWW

Nader często spotykamy się w praktyce audytorskiej z sytuacją, w której firmy chcące udostępnić aplikacje z wykorzystaniem WWW inwestują duże pieniądze w sprzęt oraz zabezpieczenie przed uzyskaniem nieautoryzowanego dostępu, ale pomijają zupełnie kwestie eskalacji uprawnień użytkowników zautoryzowanych.

Prowadzi to do sytuacji, w których osoba mająca minimalne uprawnienia w systemie uzyskuje dostęp do danych, do których nie ma uprawnień, bądź też jest w stanie wykonać operacje szkodliwe dla systemu, w tym modyfikację i usuwanie danych. Prowadzi to do powstania trudnych do wychwycenia błędów i wydaje się być jedną z głównych metod przeprowadzania nadużyć.

Oferujemy przeciwdziałanie takim sytuacjom, poprzez przeprowadzania testów penetracyjnych aplikacji WWW, zarówno publicznych, jak i wewnątrz firmo. Testy takie mają na celu:

1. Określenie poziomu bezpieczeństwa badanych aplikacji WWW w próbie ślepej (blind test);
2. Ocenę możliwości dokonania eskalacji uprawnień z poziomu konta nieuprzywilejowanego użytkownika;
3. Próbę doprowadzenia do częściowej, bądź całościowej dysfunkcji badanego systemu z poziomu konta nieuprzywilejowanego użytkownika.

Warto przeczytać:

Security Center Continuous View
Testy penetracyjne punktu styku