Ethredix Ethredix
EN

Penetrační testování webových aplikací

Komplexní bezpečnostní testování podle OWASP Web Security Testing Guide (WSTG). Identifikujeme zranitelnosti dříve, než je najdou útočníci.

OWASP WSTG

Testujeme podle OWASP Web Security Testing Guide checklist s více než 200 testovacími případy, který pokrývá všechny kritické oblasti webové bezpečnosti.

CVSS v3.1

Každá zranitelnost je hodnocena podle Common Vulnerability Scoring System pro objektivní posouzení závažnosti.

OWASP Top 10

Nejčastější zranitelnosti webových aplikací

A01:2021 – Broken Access Control

Nedostatečná kontrola přístupu umožňuje uživatelům přistupovat k datům nebo funkcím mimo jejich oprávnění.

IDOR, privilege escalation, missing function level access control

A02:2021 – Cryptographic Failures

Nedostatečné šifrování citlivých dat při přenosu nebo ukládání.

Nešifrovaná komunikace, slabé hashovací algoritmy, hardcoded secrets

A03:2021 – Injection

Nevalidované vstupy umožňují útočníkům vložit škodlivý kód do dotazů nebo příkazů.

SQL injection, command injection, LDAP injection, template injection

A04:2021 – Insecure Design

Architektonické nedostatky v návrhu aplikace, které nelze opravit pouhým patchem.

Chybějící rate limiting, nedostatečná validace business logiky

A05:2021 – Security Misconfiguration

Nesprávná konfigurace bezpečnostních nastavení a výchozích hodnot.

Chybějící security headers, directory listing, verbose error messages

+ dalších 5 kategorií včetně Vulnerable Components, Authentication Failures, Data Integrity Failures, Security Logging a SSRF

Výstup testování

Management Summary

Exekutivní shrnutí s rizikovým profilem, statistikami severity a business dopadem.

Technické nálezy

  • → Přesná lokace zranitelnosti
  • → CVSS v3.1 skóre
  • → Proof of Concept
  • → Posouzení dopadu

Remediační návod

  • → Doporučené úpravy kódu
  • → Anti-patterns
  • → Best practices odkazy
  • → Prioritizace podle rizika

Retest

Ověření úspěšné remedace všech kritických a high severity nálezů.

Proces

01

Příprava a scoping

Definice rozsahu podle OWASP WSTG, získání přístupů a dokumentace architektury.

02

Information Gathering

Mapování aplikace, identifikace technologií a analýza attack surface.

03

Aktivní testování

Systematické testování podle OWASP WSTG: autentizace, autorizace, session management, input validation, business logic.

04

Exploitace a PoC

Ověření exploitability, vytvoření Proof-of-Concept a výpočet CVSS metriky.

05

Reporting

Kompilace reportu s management summary, technickými nálezy a remediačními doporučeními.

Objednat penetrační test