Testy bezpieczeństwa aplikacji
Celem testów bezpieczeństwa jest wykrycie podatności aplikacji na ewentualne ataki, czyli znalezienie luk, które mogłyby zostać wykorzystane przez intruzów.
Defekty bezpieczeństwa tak jak inne rodzaje błędów są nieodłącznym skutkiem procesu wytwarzania aplikacji. Mogą być wynikiem nieprawidłowej architektury, błędu programisty lub niewłaściwej konfiguracji środowiska. Testy bezpieczeństwa, podobnie jak testy funkcjonalne zmierzają do wykrycia błędów, jednak błędy bezpieczeństwa mogą mieć znacznie większe skutki niż błędy funkcjonalne. Są również znacznie cięższe do wykrycia i często wymagają specjalistycznej wiedzy i doświadczenia.
Ponadto, defekty bezpieczeństwa dotyczą scenariuszy nadużyć aplikacji, a więc są poza funkcjonalnością aplikacji przewidzianą przez twórców. Dlatego techniki wykrywania błędów bezpieczeństwa różnią się zasadniczo od technik wykrywania innych defektów. Proponujemy wykonanie testów bezpieczeństwa w następujących metodykach:
– testy penetracyjne, czyli kontrolowane próby przełamania zabezpieczeń bez znajomości szczegółów budowy systemu (tzw. testy black-box),
– przeglądy kodu źródłowego (testy white-box),
– testy grey-box będące połączeniem obu wyżej wymienionych technik.
Wykrycie błędów bezpieczeństwa wymaga specjalistycznej wiedzy i połączenia doświadczeń “hackera” i programisty.
Nasz proces przeprowadzania testów bezpieczeństwa
Proces przeprowadzania testów bezpieczeństwa został wypracowany na setkach przykładów, przez co jest wysoce uporządkowany i przejrzysty dla klienta. Bazując na ponad dwudziestoletnim doświadczeniu, opracowaliśmy techniki testowania, które pozwalają wykryć błędy istotne dla ogólnego bezpieczeństwa systemu, jednocześnie optymalizując poświęcony na to czas i budżet klienta. Jak to robimy?
1. Nie polegamy na narzędziach automatycznych, ponieważ w przypadku bezpieczeństwa aplikacji są one w stanie wykryć jedynie bardzo podstawowe podatności i nie są skuteczne dla aplikacji tworzonych we wszystkich technologiach. Wykonanie testów polega na starannie dobranych, manualnych testach, blisko symulujących działania intruzów.
2. Podczas testów bierzemy pod uwagę realne ryzyko wynikające z istnienia błędów. Przed przystąpieniem do testów przeprowadzamy analizę (tzw. modelowanie zagrożeń) i najpierw wykonujemy te scenariusze, które mają najwyższy wpływ na ryzyko.
3. Pomagamy nie tylko znaleźć, ale też usunąć podatności. Raport z testów zawiera szczegółowe, realistyczne rekomendacje odnośnie sposobu usunięcia błędów. Oferujemy również wsparcie podczas usuwania błędów, pomoc w komunikacji z dostawcą, jeśli jest to produkt z półki lub na zamówienie, oraz weryfikację skuteczności usunięcia błędów.
4. Jesteśmy w ciągłym kontakcie ze zlecającym testy. Zespół klienta jest informowany na bieżąco o tym, co znajdujemy. Jeśli jest to konieczne to na koniec testów organizujemy warsztaty dla zespołu klienta, w trakcie których szczegółowo omawiamy znalezione podatności i razem podejmujemy decyzję co do sposobu i trybu ich usunięcia. Testy możemy wykonywać nie tylko zdalnie, ale również on-site, wspólnie z pracownikami klienta.
Oferujemy testy bezpieczeństwa różnego rodzaju aplikacji, uwzględniające specyfikę technologii i środowiska działania:
– aplikacji webowych,
– aplikacji mobilnych,
– systemów opartych na blockchain i smart contracts.
Oferta testów bezpieczeństwa aplikacji
Testy Aplikacji Webowych
Aplikacje webowe są podstawą współczesnych systemów informatycznych. Testy bezpieczeństwa umożliwiają wykrycie podatności, które mogłyby być wykorzystane przeciwko organizacji jak i jej klientom.
Testy Aplikacji Mobilnych
Aplikacje mobilne są coraz częściej wybieraną przez firmy metodą na udostępnianie swoich usług. Testy bezpieczeństwa aplikacji pozwalają na identyfikację błędów, które mogą narazić firmę oraz prywatność jej klientów.
Testy penetracyjne Single Sign-On
Bezpieczne zarządzanie tożsamością i uprawnieniami za pomocą rozwiązań SSO (takich jak OpenID Connect, OAuth lub SAML) wymaga odpowiedniej implementacji i integracji. Oferujemy testy penetracyjne skupiają się na SSO w Twojej organizacji.
Jak wybrać rodzaj testów i uzyskać wycenę?
Jeśli chcesz przygladnąć się bezpieczestwu w swojej organizacji lub wybrać odpowiedni rodzaj testów, umów się na spotkanie z naszym specjalistą lub napisz do nas, korzystając z formularza kontaktowego.