Testy Penetracyjne aplikacji- dawno nie mówiono tak głośno o bezpieczeństwie jak teraz. To właśnie w tym momencie coraz więcej Firm zalicza potknięcia, które prowadzą do utraty zaufania do marki, którą budują latami. Tracą na tym zarówno Firmy jak i ich Klienci – bo wykradzione dane to zazwyczaj dane Klientów.
Mamy obecnie miesiąc styczeń i z rynku doskonale już wiemy o kolejnych wpadkach Firm, można tutaj przytoczyć jeden z przykładów wycieku danych dwóch milionów Klientów jednej z firm działającej w sektorze pożyczkowym.
Wyciekły pełne dane osobowe takie jak imię, nazwisko, numer PESEL oraz adres, dane te mogą skutecznie posłużyć do wyłudzenia pożyczek przez internet.
W ubiegłym roku 2015 przestępcy komputerowi pozyskali bazę 13 milionów haseł wraz z adresami e-mail z usługi hostingowej. Co można zrobić z takim kompletem danych? Sprawdzić czy użytkownik nie wykorzystuje identycznego hasła w innym serwisie, gdzie dalej można przejmować jego profile. Można spróbować uzyskać dostęp do skrzynki pocztowej użytkownika i wykraść inne poufne informacje.
Kto na tym traci? Głownie klient.
Powyżej wymieniono tylko dwie wpadki Firm, przykłady idą w tysiące i to tylko te, o których wiemy, część Firm nie informuje o włamaniach – wtedy Klienci nawet nie mogą zareagować co jest jeszcze gorsze.
Nie unikniemy błędów bezpieczeństwa tyko przez to, że zatrudnimy dobrych programistów. Aby podnieś poziom bezpieczeństwa swojego sklepu internetowego, serwisu WWW czy aplikacji webowej należy przeprowadzać testy bezpieczeństwa swoich usług.
Testy penetracyjne aplikacji polegają na tym, że osoby testujące wcielają się w rolę hackerów, którzy próbują znaleźć podatności w usłudze/produkcie, który dostali do sprawdzenia. Taki zespół składa się z kilku specjalistów, zazwyczaj od 2 do 10 osób, którzy mają wieloletnie doświadczenie w przełamywaniu zabezpieczeń, programowaniu jak również administracji systemami.
Zazwyczaj Klienci zlecają nam przeprowadzenie testów penetracyjnych aplikacji w modelu tzw. blackbox – gdzie nasz zespół posiada minimalną wiedzę o systemie, który sprawdza. Przeprowadzamy więc działanie jak typowy hacker, który próbuje się włamać do określonych zasobów. Możemy zrealizować każde zdanie, nie możemy wyłącznie dokonać uszkodzenia systemu, który testujemy.
Działamy również inaczej, często otrzymujemy od naszych Klientów tylko źródła aplikacji i na jej podstawie musimy określić, czy w kodzie nie ma błędów bezpieczeństwa, czy nie ma zaprogramowanych backdorów itp. Tutaj nie ma ryzyka uszkodzenia systemu – jest tylko czas, który idzie w setki godzin poświęconych na analizę kodów źródłowych pod względem bezpieczeństwa.
Jako, że branża bezpieczeństwa nie lubi chwały – nikt z Państwa nie chwali się ze względów bezpieczeństwa w social media jaki typ alarmu zainstalował w domu, ani nie podaje nazwy Firmy, która wykonała instalację – my również nie zamieszczamy nazw klientów w Case Study opisujących niektóre z przeprowadzonych prac, ani nie chwalimy się publicznie referencjami z takich działań – nie chcemy robić krzywdy naszym Klientom w ten sposób.
Podczas ostatnich zleconych nam prac przeprowadziliśmy Testy Penetracyjne Aplikacji, gdzie testowaliśmy rozwiązanie e-commerce naszego klienta oparte o silnik WordPress, za jego zgodą ogłosiliśmy odkrycie 2 błędów bezpieczeństwa szerszej publiczności (tak aby inni mogli się zabezpieczyć).
Pierwszy błąd odkryty przez naszych pentesterów to tak zwany XSS odkryty w pluginie Simple Shop dla WordPress , który może doprowadzić do przejęcia konta administratora lub Klienta platformy e-commerce.
Kolejny z błędów był bardziej krytyczny – SQL Injection w pluginie eShop dla WordPress pozwolił by hackerowi na uzyskanie pełnego dostępu do bazy danych aplikacji webowej jaką jest sklep internetowy ale również mógłby pozwolić na dostęp do plików serwisu, dostęp do powłoki serwera itd – gdyby błąd znalazł hacker, mogło by to doprowadzić do pełnej kompromitacji serwisu i Firmy.
Dzięki naszym działaniom w ramach których przeprowadziliśmy Testy Penetracyjne Aplikacji, platforma handlowa naszego Klienta została zabezpieczona, a pewnie było by to tylko kwestią czasu gdyby cyber przestępcy odkryli wskazane przez nas błędy, a w tedy ucierpiał by nasz Klient jak i również jego Klienci.
Należy pogratulować Zlecającemu, odpowiedzialności i troski o bezpieczeństwo jak również profesjonalnego podejścia, które pozwoliło zapobiec katastrofie dzięki niskim wydatkom, niż później narazić Firmę na olbrzymie wydatki, aby dokonać napraw po incydencie bezpieczeństwa bez gwarancji odbudowy zaufania Klientów.
Wytrwałych czytelników chcielibyśmy zaprosić do naszej promocji, w której możecie przeprowadzić Testy Penetracyjne Aplikacji .
Pamiętajcie, że Testy Penetracyjne Aplikacji (bezpieczeństwo) to proces, który powinien trwać.
Testy Penetracyjne Aplikacji są bardzo ważne, mamy nadzieję, że dzięki naszej ofercie będziecie mogli podnieść poziom bezpieczeństwa swoich usług.