Ethredix Ethredix
Jazyk EN

Penetracni testovani webovych aplikaci

Hloubkove manualni testovani webovych platforem zamerene na logicke chyby, manipulaci s daty a komplexni zranitelnosti.

Metodika přesahující automatizované skenery

Automatické vulnerability skenery často produkují rozsáhlé reporty plné falešně pozitivních nálezů ohledně chybějících HTTP hlaviček, avšak z podstaty věci nedokážou pochopit složitou byznys logiku vaší aplikace. Naše penetrační testy webových aplikací jsou proto striktně manuální a hloubkově přizpůsobené konkrétní architektuře vaší platformy. Aktivně vyhledáváme komplexní vektory útoků – jako jsou Server-Side Request Forgery (SSRF), manipulace s JWT tokeny, Insecure Direct Object Reference (IDOR) či řetězené obcházení autorizace. Tyto logické zranitelnosti standardní automatizované nástroje nedokážou identifikovat.

Oblasti zaměření a metodiky

OWASP Top 10
OWASP ASVS
Burp Suite Pro
Manual Testing

Přístupy k testování a rozsah

Aplikace hodnotíme ze všech kritických úhlů pohledu. V rámci Black Box scénáře testujeme váš externí perimetr identicky jako neautentizovaný útočník pokoušející se o průlom. Při Grey Box testu – což je oborový standard – od vás obdržíme uživatelské účty (např. běžný uživatel a administrátor) s cílem zacílit na architektonické chyby a dosáhnout horizontální či vertikální eskalace privilegií (Privilege Escalation). Pro prostředí vyžadující maximální úroveň jistoty nabízíme White Box testování, které kombinuje dynamické testování s pečlivou analýzou zdrojového kódu a garantuje tak maximální pokrytí v souladu se standardem OWASP ASVS.

Profesionální výstupy auditu

Výstupem penetračního testu je vysoce čitelný technický dokument navržený pro vývojové týmy i management. Ke každé identifikované zranitelnosti, která je striktně hodnocena podle rámce CVSS v3.1, přikládáme přesný HTTP požadavek nebo payload, jenž jsme použili (tzv. Proof of Concept). Váš vývojový tým tak může útok okamžitě replikovat na lokálním prostředí a chybu ověřit. Dále poskytujeme konkrétní doporučení na úrovni kódu ohledně validace vstupů a bezpečných návrhových vzorů, čímž zajišťujeme trvalé odstranění identifikovaných hrozeb.

Máte zájem?

Kontaktujte nás. Zanalyzujeme vaší architekturu a společně navrhneme rozsah testování nebo školení přesně na míru vašemu prostředí.

Poptat nezávazně

Služba zahrnuje

  • Management Summary
  • Technical Report (CVSS v3.1)
  • Proof of Concept (PoC) exploits
  • Remediation guidelines
  • Complimentary Retest