SECURITY
ASSESSMENT

Web Application Penetration Test

Το Web Application Penetration Test είναι ένας τύπος ηθικού hacking που έχει σχεδιαστεί για την αξιολόγηση της αρχιτεκτονικής, του σχεδιασμού και της διαμόρφωσης των διαδικτυακών εφαρμογών (Web Applications). Κατά τη διεξαγωγή του ελέγχου, πραγματοποιούνται αναλύσεις με σκοπό τον εντοπισμό των κινδύνων κυβερνοασφάλειας που θα μπορούσαν να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση ή σε διαρροή δεδομένων.

Ειδικότερα, πραγματοποιούνται οι ακόλουθες ενέργειες:

  • Έλεγχοι αναγνώρισης (reconnaissance) για την αποτύπωση της συνολικής εικόνας του δικτύου συμπεριλαμβανομένης της τοπολογίας, των συστημάτων, των κόμβων και των υπηρεσιών που είναι διαθέσιμες.
  • Διεξοδικοί έλεγχοι με στόχο τον εντοπισμό των τρωτών σημείων του δικτύου ή των υπηρεσιών που μπορεί να αποτελέσουν σημεία εισόδου για πιθανούς εισβολείς.
  • Διερεύνηση για τον εντοπισμό των 10 κορυφαίων ευπαθειών του OWASP.
  • Έλεγχος όλων των API για τυχόν γνωστές ευπάθειες.
  • Έλεγχος ευπαθειών σε όλα τα στοιχεία και τις βιβλιοθήκες τρίτων κατασκευαστών που χρησιμοποιούνται από τις εφαρμογές.
  • Έρευνα για ευπάθειες που μπορεί να προκύψουν από εργοστασιακές ρυθμίσεις (default), ξεχασμένους λογαριασμούς, αδύναμα passwords, κλπ.

  • Λεπτομερής και σε βάθος ανάλυση των τρωτών σημείων για τον εντοπισμό των δυνατοτήτων παρείσδυσης που προσφέρουν.
  • Κατηγοριοποίηση των ευπαθειών που εντοπίστηκαν βάσει:
    • της ευκολίας εκμετάλλευσης
    • των πόρων, υλικών και χρονικών που απαιτούνται για την επιδιόρθωση (remediation)
    • των επιπτώσεων που θα έχουν σε περίπτωση επίθεσης
  • Προτάσεις για την αντιμετώπιση θεμάτων ασφαλείας που απαιτούν άμεση προσοχή.
  • Καταγραφή συστάσεων για τη βελτίωση της ασφάλειας και τον καθορισμό προτεραιοτήτων για την αντιμετώπιση του κινδύνου λαμβάνοντας υπόψη τη σημασία των ευπαθειών που εντοπίστηκαν και την προσπάθεια που απαιτείται για την αντιμετώπισή τους.
  • Μεταφορά των γνώσεων που αποκτήθηκαν στο προσωπικό.

Τα οφέλη
για την επιχείρηση