Webapplication Security Pentest Service

Podobne dokumenty
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone

Usługa: Testowanie wydajności oprogramowania

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Portal Security - ModSec Enterprise

Projektowani Systemów Inf.

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Win Admin Replikator Instrukcja Obsługi

z testów penetracyjnych

Kurs ASP.NET ASP.NET CORE APLIKACJE WEBOWE

Dotacje na innowacje. Inwestujemy w waszą przyszłość.

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

Win Admin Replikator Instrukcja Obsługi

Kurs rozszerzony języka Python

Opis przedmiotu zamówienia (zwany dalej OPZ )

Budowanie interfejsów do baz danych

Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

Programowanie w Sieci Internet Python - c. d. Kraków, 28 listopada 2014 r. mgr Piotr Rytko Wydział Matematyki i Informatyki

Bezpieczeństwo systemów komputerowych

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

Dokumentacja techniczna. Młodzieżowe Pośrednictwo Pracy

Oracle Application Express -

4 Web Forms i ASP.NET Web Forms Programowanie Web Forms Możliwości Web Forms Przetwarzanie Web Forms...152

Wybrane działy Informatyki Stosowanej

Win Admin Replikator Instrukcja Obsługi

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Referat pracy dyplomowej

Projektowanie i implementacja wysokowydajnych aplikacji w języku

Opis Przedmiotu Zamówienia

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

The OWASP Foundation Session Management. Sławomir Rozbicki.

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Absolwenci kierunków informatycznych

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Tworzenie aplikacji Web Alicja Zwiewka. Page 1

Programista do działu testów PDT/1401/T/TBG

Ekspert MS SQL Server Oferta nr 00/08

Agenda. Quo vadis, security? Artur Maj, Prevenity

Audytowane obszary IT

Czym jest jpalio? jpalio jpalio jpalio jpalio jpalio jpalio jpalio jpalio

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Aplikacje internetowe - laboratorium

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Rozwiązania bazodanowe EnterpriseDB

VMware View: Desktop Fast Track [v5.1] Dni: 5. Opis: Adresaci szkolenia

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

Centrum Innowacji ProLearning

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Programowanie obiektowe

Ruby on Rails. Supersilnik WWW. Łukasz Włodarczyk

Program szkolenia: Bezpieczny kod - podstawy

GS2TelCOMM. Rozszerzenie do TelCOMM 2.0. Opracował: Michał Siatkowski Zatwierdził: IMIĘ I NAZWISKO

PRZEWODNIK PO PRZEDMIOCIE

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Kurs Wizualizacja z WinCC SCADA - Zaawansowany. Spis treści. Dzień 1. I VBS w WinCC podstawy programowania (zmienne, instrukcje, pętle) (wersja 1410)

Pojęcie systemu baz danych

I. Informacje ogólne. Jednym z takich systemów jest Mambo.

Zmiana treści Specyfikacji Istotnych Warunków Zamówienia.

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki Promotor dr inż. Paweł Figat

Przedmowa Podziękowania O autorach Redaktorzy techniczni... 24

Instalacja SQL Server Konfiguracja SQL Server Logowanie - opcje SQL Server Management Studio. Microsoft Access Oracle Sybase DB2 MySQL

Praca przejściowa. Sklep internetowy. Tomasz Konopelski ZIP50-IWZ Katowice 2006

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Szczegółowy opis zamówienia:

Zdobywanie fortecy bez wyważania drzwi.

Bezpieczeństwo systemów internetowych

Języki programowania wysokiego poziomu. PHP cz.3. Formularze

Full Stack JavaScript z Angular i Nest. Dni: 5. Opis: Adresaci szkolenia

Część I Rozpoczęcie pracy z usługami Reporting Services

Bazy danych - ciągłość działania, spójność danych i disaster recovery. Daniel Polek-Pawlak Jarosław Zdebik

Drobne błędy w portalach WWW

Procedury techniczne modułu Forte Kontroling. Środowisko pracy programu i elementy konfiguracji

Wybrane działy Informatyki Stosowanej

Plugin Single Sign On Wersja 1.2. Przewodnik koncepcyjny

Forum Client - Spring in Swing

IO - Plan testów. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

Programowanie w internecie nazwa przedmiotu SYLABUS A. Informacje ogólne

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008)

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Architektura systemu e-schola

Aplikacje WWW - laboratorium

Szczegółowy opis przedmiotu zamówienia:

KARTA KURSU. Administracja serwerami WWW

egroupware czy phpgroupware jest też mniej stabilny.

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Badania poziomu bezpieczeństwa portalu dostępowego do infrastruktury projektu PL-Grid

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET

EXSO-CORE - specyfikacja

Transkrypt:

Webapplication Security Pentest Service Usługa WSPS ma na celu odnalezienie w badanym serwisie internetowym luk bezpieczeństwa, umożliwiających osobom niepowołanym dostęp do danych serwisu internetowego, jego zniszczenie, kompromitację bądź wykorzystanie go w ataku na inne zasoby w sieci Internet. Wynik działania osób niepowołanych Kompromitacja serwisu Dostęp do danych sensytywnych Kradzież tożsamości witryny internetowej Wykorzystanie luk bezpieczeństwa w celu przeprowadzenia ataku na inne serwisy, bądź włączenie serwisu do sieci Botnet Uzyskanie danych osobowych zarejestrowanych użytkowników Dostęp do danych sensytywnych prawdziwych Straty i potencjalne konsekwencje Strata ciągłości działania serwisu Nakład finansowy potrzebny na odtworzenie środowiska po włamaniu Kary finansowe dla Klientów którzy podlegają pod nadzór GIODO Możliwość wykorzystania treści strony do ataku na innych użytkowników Internetu, wyłudzeń informacji z wykorzystaniem wizerunku Klienta, którego serwisy internetowe zostały skompromitowane Odpowiedzialność karna, za straty spowodowane wykorzystaniem zasobów w atakach prowadzonych na inne cele w sieci Obniżenie wydajności działa serwisu internetowego, Odpływ Klientów do serwisów firm konkurencyjnych, które uzyskały dane o zarejestrowanych użytkownikach Odpływ Klientów do serwisów firm konkurencyjnych, które uzyskały dane o zarejestrowanych użytkownikach

Metodyka przeprowadzenia testów bezpieczeństwa: 1. Testy Blackbox Testy w których pentesterzy, posiadają minimalną wiedzę o badanym serwisie (np. tylko informację o adresie internetowym badanego serwisu). Celem tego testu jest odwzorowanie sytuacji, w której osoby niepowołane (potencjalni włamywacze), przy wykorzystaniu luk odnalezionych w badanym serwisie budują wektory ataków, które docelowo mają posłużyć do kompromitacji serwisu. Etapy metody Blackbox: Pozyskanie informacji o zasobach informatycznych, związanych z funkcjonowaniem serwisu internetowego (np. enumeracja strefy dns, określenie wersji i silnika bazy danych, języków programowania, sposobów dostępu do serwisu na poziomie aplikacyjnym oraz systemowym) Analiza znanych podatności dla wybranych komponentów systemu (np. nie aktualnej wersji modułu Wordpress) Próba odwzorowania środowiska w laboratorium MGM Systems, celem przygotowania wektorów ataków na komponenty systemu Przygotowanie scenariusza dla nieinwazyjnych ataków na serwis internetowy Klienta Przygotowanie scenariusza dla testów inwazyjnych (o ile Klient wyraz na nie zgodę) Przeprowadzenie zestawu testów w laboratorium Przeprowadzenie testów w środowisku docelowym Klienta, po wcześniejszym ustaleniu terminu oraz zakresu testów oraz przygotowaniem planu Disaster Recovery środowiska Klienta Przygotowanie raportu poaudytwego wraz z określeniem poziomu zagrożenia dla badanej podatności, informacji o podatności oraz sposobie rozwiązania problemu. Wektory ataków wykorzystywane przy testach bezpieczeństwa badanego systemu: Wektor ataku Opis Typ zagrożenia Path Traversal Remote File Inclusion URL Redirector Abuse Server Side Include Atak ma na celu uzyskanie dostępu do danych poza głównym folderem aplikacji na serwerze Atak ma umożliwić załączenie zdalnego pliku przez skrypty na serwerze i uzyskanie dostępu do danych wrażliwych Atak ma na celu sprawdzanie, czy aplikację webową można użyć do przekierowania użytkowników na zewnętrzne (niebezpieczne strony internetowe) Atak ma na celu sprawdzenie, czy elementy web aplikacji odpowiadającej za dynamiczne generowanie zawartości strony są podatne na wstrzyknięcie spreparowanego kodu umieszczanego przed zawartością (body) wygenerowanej strony Wyciek informacji Kompromitacja serwera, na którym hostowana jest strona internetowa Wyciek informacji/manipulacja informacją Manipulacja informacją/dostęp do fizycznych danych na serwerze/uzyskanie fizycznego dostępu do systemu operacyjnego

Cross Site Scripting / Stored / Reflected SQL Injection Forced Directory Browsing Header Poisoning External Redirect Parameter Tempering Information Gathering Testing: Spiders, robots, and Crawlers Search engine discovery/reconnaissance Analysis of Error Codes Authentication Testing Atak ma na celu sprawdzenie podatności serwisu na taki typu XSS (spreparowanie skryptów JS wywoływanych z adresu serwisu, celem przekierowania użytkownika do stron trzecich, bądź wstrzyknięcia do używanych przez nich przeglądarek kodu pozwalającego na przejęcie kontroli nad systemem użytkownika końcowego) Próba ataków przy użyciu mechanizmów wstrzyknięcia kodu (spreparowanie żądania do serwera aplikacyjnego mające na celu wykonanie własnego zapytania do bazy danych i uzyskanie dostępu do danych wrażliwych, bądź też zniszczenie danych / manipulacja danymi) Próba wylistowania danych, które mają być niewidoczne/niedostępne z poziomu aplikacji webowych Manipulacja nagłówkami celem skierowania użytkowników systemu na spreparowaną stronę wyłudzającą dane (np. próba przekierowania użytkownika do którego wysyłany jest z systemu e- mail z linkiem do zresetowania hasła) Atak ma na celu sprawdzenie, czy aplikację webową można użyć do przekierowania użytkowników na zewnętrzne (niebezpieczne strony internetowe) Próba wykorzystania elementów web aplikacji (takich jak pola ukryte, elementy form, adresy wywołań, ciasteczka do zmanipulowania danych web aplikacji Testy uzyskania informacji o komponentach web aplikacji (systemu operacyjnego, wersji serwera www, bazy danych, innych serwisów działających na serwerze aplikacyjnym Testy wylistowania wszelkich możliwych struktur, ukrytych przed użytkownikiem web aplikacji Próby wykorzystania mechanizmów wyszukiwania w bazie danych do ataków wydajnościowych (wykorzystanie spreparowanych wzorców i dyrektywy wyszukań wzorców) Próba spreparowania błędnych odwołań, na podstawie których można uzyskać informacje o wersjach poszczególnych komponentów aplikacji webowej (serwer www, baza danych, etc) Testy mechanizmów autoryzacji, próby ominięcia mechanizmów autoryzacji oraz uzyskania dostępu do danych użytkowników. Wyciek informacji/manipulacja informacją/zniszczenie danych Wyciek informacji Wyciek informacji / Manipulacja użytkownikami serwisu Manipulacja informacją Uzyskanie informacji sensytywnych o komponentach systemu Impakt na wydajność web aplikacji Uzyskanie informacji sensytywnych o komponentach systemu Manipulacja informacją / Uzyskanie

Authentication Testing Testing for user enumeration Testing For Brute Force Testing for Bypassing authentication schema Testing for Vulnerable remember password and pwd reset Testing for Logout and Browser Cache Management Testing for Exposed Session Variables Testing for SQL Wildcard Attacks Default credentials for known frameworks Testy mechanizmów autoryzacji, próby ominięcia mechanizmów autoryzacji oraz uzyskania dostępu do danych użytkowników. Testy mechanizmów pozwalających na uzyskanie danych zarejestrowanych użytkowników serwisu aplikacyjnego Testy mechanizmów brute force dla uzyskania dostępu do konta użytkownika Testy uzyskania dostępu z pominięciem mechanizmów logowania i autoryzacji Testy podatności na uzyskanie informacji sensytywnych, użycia mechanizmów notyfikacji do wysyłania spamu, uzyskania listy użytkowników z wykorzystaniem mechanizmów resetowania/przypomnienia hasła aplikacji webowej Testy badające podatność na wykorzystanie sesji użytkownika po wylogowaniu, zamknięciu przeglądarki internetowej, testy mechanizmów automatycznego wylogowania lub zamknięcia nawiązanej sesji Próba uzyskania informacji o sposobie autoryzacji użytkowników poprzez analizę "tokenów sesji" (ukrytych pól, ciasteczek i numerów sesji) Próby wykorzystania mechanizmów wyszukiwania w bazie danych do ataków wydajnościowych (wykorzystanie spreparowanych wzorców i dyrektywy sql LIKE) Wykrycie i enumeracja mechanizmów firm trzecich użytych do stworzenia webaplikacji i próba wykorzystania defaultowych presetów do uzyskania Manipulacja informacją / Uzyskanie Uzyskanie nieautoryzowanego dostępu / atak na wydajność serwisu Impakt na wydajność web aplikacji / Pełny dostęp administracyjny 2. Testy Crystal Box Test penetracyjny z pełną wiedzą zespół testujący ma pełny dostęp do dokumentacji projektowej, kodu źródłowego, konfiguracji urządzeń sieciowych itd. W przypadku opierania się wyłącznie na tej wiedzy można mówić o przeglądzie kodu lub przeglądzie konfiguracji.

3. Zasoby Testy penetracyjne aplikacji web, prowadzone są przez doświadczonych Inżynierów Systemowych, Inżynierów Bazodanowych, Programistów, inżynierów sieciowych oraz osoby związane bezpieczeństwem IT od ponad 20 lat. Kompetencje technologiczne w zakresie zespołu pentesterów: Systemy operacyjne Linux / Unix Bazy danych: MySQL, Microsoft SQL, Oracle, DB2, PostgreSQL, SQLite Języki programowania: Assembler, ANSI C, C++, ASP, PHP, Java Script, Java, Cordova, Python, Perl, Ruby Języki proceduralne silników baz danych: MySQL, Microsoft SQL, Oracle, PostgreSQL, Serwery HP, Dell, IBM we wszystkich możliwych architekturach Silniki serwerów WWW: Apache, Nginx, Litespeed, Microsoft IIS Platformy wirtualizacji Citrix XEN, KVM, VMWare ESX, Microsoft Hyper-V Narzędzia wspomagające procesu testów penetracyjnych: Portswigger Burp Suite, OWASP Zap, Rapid 7 Metasploit Framework, Xenotix XSS Exploit Framework

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres