Audit webových aplikací

brand-webaudit

Každý provozovatel webových stránek, e-shopů či libovolné webové aplikace sleduje s obavami zprávy z oblasti informační bezpečnosti. Snadno zneužitelné zranitelnosti běžně používaného software mohou mít za následek nedostupnost právě Vašeho webového portálu. Nebo hůře – únik či ztrátu citlivých dat. Prevence je v těchto případech jediná spolehlivá metoda, jak se ochránit proti známým rizikům.

Při auditu webových aplikací nevymýšlíme znovu kolo ale používáme osvědčenou metodiku testování zranitelností podle žebříčku OWASP TOP 10.

OWASP TOP 10

Seznam testovaných zranitelností je následující:

  1. Cross Site Scripting (XSS).
    XSS je metoda narušení WWW stránek využitím bezpečnostních chyb ve skriptech (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní kód, což může využít buď k poškození vzhledu stránky, jejímu znefunkčnění nebo dokonce k získávání citlivých údajů návštevníků stránek, obcházení bezpečnostních prvků aplikace a phishingu.
  2. Injection flaws.
    SQL injection je technika napadnutí databázové vrstvy programu vsunutím (injection) kódu přes neošetřený vstup a vykonání vlastního, pozměněného, SQL dotazu. Toto nechtěné chování vzniká při propojení aplikační a databázové vrstvy (téměř vždy jde o dva odlišné programy) a zabraňuje se mu pomocí jednoduchého nahrazení potencionálně nebezpečných znaků escape sekvencemi.
  3. Malicious File Execution.
    Tato zranitelnost umožňuje útočníkovi spustit na straně serveru škodlivé soubory.
  4. Insecure Direct Object Reference. Zranitelnosti této kategorie umožňují útočníkovi získat informace o jednotlivých objektech cílové aplikace bez patričné autentifikace. Další možností je získání interních systémových informací.
  5. Cross Site Request Forgery (CSRF)
    je technika, která umožňuje útočníkovi podvrhnout formulář na jiné stránce nebo pomocí některých HTTP metod přesměrovat prohlížeč oběti na skript zpracovávající legitimní formulář aplikace s daty, které můžou oběť poškodit.
  6. Information Leakage and Improper Error Handling.
    Zranitelnosti tohoto typu útočníkovi zpřístupňují v případě chybového stavu aplikace informace, které lze později použít k lepšímu plánování útoku. Příkladem může být změna vstupního parametru, která způsobí chybu, a aplikace dobrovolně oznámí cestu ke skriptu, ve kterém chyba nastala.
  7. Broken Authentication and Session Management.
    Zranitelnosti tohoto typu umožňují útok na přihlašovací části aplikace či úplné obcházení přihlašovacího systému. Ze strany aplikace je nutné zaměřit se na zabezpečené předávání autentifikačních údajů a bezpečné úložiště identifikátoru relace („session id“).
  8. Insecure Cryptographic Storage.
    Zranitelnosti tohoto typu můžou způsobit kompromitaci privátního šifrovacího klíče jedné či obou stran spojení.
  9. Insecure Communications.
    Zranitelnosti tohoto typu umožňují útočníkům odchytávat komunikaci, která jim není určená.
  10. Failure to Restrict URL Access.
    V případě, že aplikace umožňuje neautentifikovaný přístup i ke stránkám, ke kterým by měl být přístup jen po příslušné autentifikaci, je možnou zranitelností situace, kdy takto odkazovaná stránka zobrazí některé informace, které by měly být přístupné jen konkrétním autentifikovaným uživatelům, či systémové informace citlivého charakteru.

Výstupy z auditu

Po otestování webové aplikace a analýze zjištěných skutečností Vám dodáme:

  • detailní technickou zprávu popisující a hodnotící zjištěné nedostatky a ohodnocení souvisejícího rizika,
  • manažerskou zprávu s doporučenými kroky pro nápravu nedostatků.

Samozřejme s Vámi a Vašimi programátory rádi prodiskutujeme obsah technické zprávy a poradíme s možnostmi technického řešení zjištěných problémů.

Trustica realizovala penetrační test nové webové prezentace Ministerstva průmyslu a obchodu ČR. Test byl realizován v nejkratším možném termínu jen několik dnů před spuštěním nových stránek.

-Ministerstvo průmyslu a obchodu ČR
Ing. Jindřich Ptáček