Powrót

Test Bezpieczeństwa Portalu Blogowego oraz Infrastruktury Serwerowej

Kategorie

Informacje o kliencie:
Właściciel jednego z większych portali internetowych w kraju o tematyce blogowej.

Nasze zadanie:
Nasza firma otrzymała od Klienta zadanie mające na celu zabezpieczenie portalu internetowego. W zakres zadania wchodził test bezpieczeństwa portalu oraz infrastruktury serwerowej, na której był umiejscowiony portal.

Realizacja zadania:
Aby zrealizować to zadanie musieliśmy przyjąć postawę identyczną, jak osoba, która chciała by zaatakować naszego Klienta i włamać się do jego portalu.
Nie dostaliśmy od klienta żadnych informacji oprócz adresu internetowego portalu.

W skład zespołu realizującego zadanie zawierał 4 naszych pracowników. Dzięki czemu nasz zespół złożony był ze specjalistów z wieloletnim doświadczeniem do spraw bezpieczeństwa aplikacji internetowych i systemów operacyjnych.

Pierwszymi krokami, które podjęliśmy było zdobycie jak najwięcej informacji o portalu, który mamy zabezpieczyć, a żeby to zrobić musieliśmy odkryć w nim luki bezpieczeństwa.

Jak realizowaliśmy projekt?
1) pozyskanie jak największej ilości informacji odnośnie portalu – dzięki zdobytym informacjom wiedzieliśmy jak wygląda infrastruktura serwerowa
2) testy penetracyjne aplikacji webowej czyli samego portalu
3) testy penetracyjne infrastruktury serwerowej
4) przedstawienie raportu ze znalezionymi podatnościami klientowi
5) omówienie z klientem w jaki sposób wyeliminować znalezione przez nas podatności

Co zawierał raport?
Raport, który przedstawiliśmy klientowi zawierał wszystkie podatności jakie udało nam się wykryć podczas prowadzonych badań.

Raport w liczbach
13 podatności krytycznych, z czego 8 pozwalało na zmianę treści portalu, odczytanie informacji z bazy danych portalu lub plików lokalnych na serwerach oraz zdalnego wykonaniu kodu.
Pozostałe 5 krytycznych podatności dotyczyło błędnej konfiguracji serwerów klienta.

43 podatności średnich prowadzących do ataków na użytkowników portalu.

Co zyskał klient?
Nie ma systemów teleinformatycznych w 100% bezpiecznych, ale dzięki naszej pracy wyeliminowaliśmy łącznie 56 podatności, które pozwalały na zaatakowanie serwisu. Gdyby klient nie skorzystał z naszej usługi, to pewnie w niedługim czasie naraził by się na utratę aktualnych użytkowników, przez to że jakiś atakujący przejął by kontrolę nad portalem, poznał dane wszystkich użytkowników. To jeden z czarnych scenariuszy, ale był by w 100% możliwy do zrealizowania przez atakującego.

Co zyskaliśmy my?
Zyskaliśmy kolejnego zadowolonego klienta oraz satysfakcję z dobrze wykonanej pracy przez nasz zespół. Podczas wykonywania zadania takiego typu zawsze uczymy się czegoś nowego więc dzięki temu podnieśliśmy również nasze umiejętności.

Zobacz po przeczytaniu jeszcze

Jak włamaliśmy się na giełdę kryptowalut – BeatCoin.pl
2017-07-18
Nasza firma ZdalnyAdmin.com.pl coraz częściej świadczy usługi dla firm, działających na ogólnoświatowym rynku kryptowalut takich jak Bitcoin, Litecoin czy Etherum. Jest to obecnie bardzo szybko rozwijająca się gałąź rynku finansowego. Szacuje się, że całkowita kapitalizacja cyfrowych walut oscyluje wokół 30…
Czytaj dalej
Case Study Bio Medical Pharma – optymalizacja wydajności sklepu internetowego i testy wydajnościowe
2020-03-19
Bio Medical Pharma to polski producent naturalnych suplementów diety. Firma istnieje na rynku e-commerce od 2014 roku, dystrybuując produkty zarówno w kraju, jak i za granicą. Klient prowadzi rozbudowany sklep online, w którym sprzedaje własne produkty. Co zrobiliśmy dla Bio…
Czytaj dalej
Klaster Danych klasy IBM Enterprise + Portal Internetowy
2017-06-16
Informacje o Kliencie: ***Informacja poufna *** Nasze zadanie: Naszym celem było stworzenie rozbudowanego portalu internetowego tworzonego w technologii webowej z wyorzystaniem PHP, Bootstrap, NodeJS oraz Laravel Framework. Bazy danych z których korzystała aplikacja to PostgreSQL oraz MongoDB. Oprócz przygotowania zaawansowanej…
Czytaj dalej