Testy penetracyjne infrastruktury IT i aplikacji webowych

Realizujemy pentesty dowolnych elementów infrastruktury IT, wewnętrznych i zewnętrznych usług sieciowych oraz aplikacji webowych. Ich zakres dostosowany jest zawsze do indywidualnych uwarunkowań i potrzeb klienta.

Sprawdź zakres testów

Dlaczego warto przeprowadzać testy?

  • Zapobieganie takim problemom, jak ransomware czy wyciek danych, jest tańsze niż ich usuwanie.
  • Testy bezpieczeństwa identyfikują słabości, które mogą być wykorzystane do „obejścia zabezpieczeń”, co docelowo może doprowadzić do naruszenia bezpieczeństwa firmy.
  • Testy są też konieczne dla firm, które muszą przestrzegać określonych przepisów, np. rekomendacji lub wymogów KNF.
  • Dzięki cyklicznemu testowaniu bezpieczeństwa firma jest w stanie wykazać, iż spełnia normy wymagane do prowadzenia działalności w swojej branży.

Co wchodzi w skład pentestów?

Testy penetracyjne infrastruktury IT

  1. Rekonesans pasywny z wykorzystaniem technik OSINT w celu identyfikacji zasobów publicznych organizacji
  2. Analiza infrastruktury w celu identyfikacji działających usług oraz otwartych portów
  3. Enumeracja w celu uzyskania szczegółowych informacji o systemie, usługach, ich nazwach oraz wersjach
  4. Analiza podatności przy wykorzystaniu narzędzi automatycznych wspierana ręczną weryfikacją znanych i opublikowanych podatności związanych z wykrytymi na wcześniejszych etapach usługami i systemami
  5. Kontrolowane próby wykorzystania zidentyfikowanych podatności przy użyciu m.in. publicznie dostępnych exploitów w celu uzyskania nieautoryzowanego dostępu do systemów

Testy penetracyjne aplikacji www

Testy realizujemy w oparciu o OWASP Testing Guide.

  1. Analiza odporności badanego systemu na ataki internetowe wg OWASP TOP 10:
    • Injection
    • Broken Authentication
    • Sensitive Data Exposure
    • XML External Entities (XXE)
    • Broken Access control
    • Security misconfigurations
    • Cross Site Scripting (XSS)
    • Insecure Deserialization
    • Using Components with known vulnerabilities
    • Insufficient logging and monitoring
  2. Weryfikacja mechanizmów zapewniania poufności i integralności komunikacji użytkownika z serwisem
  3. Weryfikacja poprawności walidacji przez serwer obsługujący serwis danych przesyłanych w zapytaniach GET i POST
  4. Bezpieczeństwo mechanizmów odpowiedzialnych za obsługę sesji użytkownika, wygasanie sesji, odporność na ataki typu session poisoning oraz session hijacking, ochrona ciasteczek
  5. Analiza możliwości przeprowadzenia ewentualnych nadużyć w systemie przez użytkowników o różnych poziomach uprawnień (w tym bez uprawnień w aplikacji)
  6. Analiza możliwości ujawniania przez system poufnych lub wrażliwych danych, w tym:
    • danych osobowych (imiona, nazwiska, PESELE, numery klientów, itp.)
    • danych bankowych (np. numery kont)
    • danych służących do potwierdzania tożsamości (ciasteczka, tokeny SSO, itp.)
  7. Weryfikacja możliwości pozyskania jak największej ilości informacji o wykorzystywanych frameworkach, bibliotekach, wersji systemu operacyjnego i serwera aplikacji
  8. Analiza możliwości oraz sposobu poznania architektury i logiki badanego systemu
  9. Weryfikacja czy w testowanej aplikacji istnieje możliwość wpłynięcia na poufność, integralność i dostępność aplikacji oraz systemu
  10. Weryfikacja możliwości łamania loginów oraz haseł, ominięcia mechanizmów autoryzacji, Directory Traversal, analiza mechanizmów przypomnienia/resetu hasła, analiza funkcji wylogowania, weryfikacja sposobu przekazywania i zarządzania identyfikatorem sesji, ataki typu Cross Site Request Forgery oraz HTTP Response Splitting;
  11. Weryfikacja możliwości ataków typu Cross Site Scripting, SQL Injection, LDAP Injection, XPATH Injection, XML Injection, próby wywołania poleceń systemowych, przepełnienia buforów w pamięci, przekroczenia limitów przydzielonych zasobów dla użytkownika, itp.

Testy realizowane są przez zespół
MAIN Interconnection

MAIN Interconnection (dawniej Telsar) dostarcza rozwiązania IT dla biznesu, takie jak:

  • Budowa infrastruktury sieciowej i serwerowej,
  • Bezpieczeństwo sieci, usług, użytkowników i informacji,
  • Zarządzanie sieciami, infrastrukturą IT i aplikacjami,
  • Budowa systemów ITSM,
  • Systemy pracy grupowej.

Jesteś zainteresowany pentestami?

Napisz do nas - skontaktujemy się w ciągu 1 dnia roboczego.

Kamil Wiśniewski
Senior Security Engineer, CEH (Certified Ethical Hacker)