Ataki na aplikacje „web” oraz strony internetowe organizacji są w chwili obecnej jedną z głównych metod ataku. Nasze doświadczania pokazują, iż przełamanie zabezpieczeń aplikacji web często pozwala atakującemu m.in. na uzyskanie dostępu do środka organizacji, czego następstwem może być całkowite przejęcie kontroli nad zasobami informatycznymi.
W ramach testów aplikacji web, wykonywanych zgodnie ze standardem OWASP ASVS (Application Security Verification Standard) sprawdzamy m.in.:
- Architekturę aplikacji,
- Proces uwierzytelniania do aplikacji,
- Zarządzanie sesją użytkowników,
- Zarządzanie dostępem w ramach aplikacji,
- Walidację danych wejściowych i wyjściowych,
- Kryptografię,
- Zarządzanie błędami,
- Ochronę danych po stronie aplikacji – ich integralność, dostępność oraz poufność,
- Bezpieczeństwo komunikacji z użytkownikiem i komponentami rozwiązania,
- Konfigurację komponentów aplikacji (serwer WWW, baza danych, serwer aplikacyjny, itp.)
- Logikę biznesową aplikacji oraz możliwości jej obejścia,
- Składowanie plików użytkowników oraz ryzyko z tego wynikające,
- Konfigurację dodatkowych mechanizmów bezpieczeństwa (HSTS, CORS, CSP, itp.)
Nie bazujemy na automatycznych narzędziach, a testy przeprowadzane są ręcznie z wykorzystaniem automatycznych narzędzi w celu automatyzacji podstawowych prac. Po testach każdy raport przechodzi wewnętrzny proces oceny jakości QA („quality assurance”), aby potwierdzić zgodność wyników prac z założonymi przez nas najwyższymi standardami.
Nasze testy aplikacji “web” są zgodne z wymaganiami testów dla certyfikacji PCI DSS.