Informacje o kliencie:
Właściciel jednego z większych portali internetowych w kraju o tematyce blogowej.
Nasze zadanie:
Nasza firma otrzymała od Klienta zadanie mające na celu zabezpieczenie portalu internetowego. W zakres zadania wchodził test bezpieczeństwa portalu oraz infrastruktury serwerowej, na której był umiejscowiony portal.
Realizacja zadania:
Aby zrealizować to zadanie musieliśmy przyjąć postawę identyczną, jak osoba, która chciała by zaatakować naszego Klienta i włamać się do jego portalu.
Nie dostaliśmy od klienta żadnych informacji oprócz adresu internetowego portalu.
W skład zespołu realizującego zadanie zawierał 4 naszych pracowników. Dzięki czemu nasz zespół złożony był ze specjalistów z wieloletnim doświadczeniem do spraw bezpieczeństwa aplikacji internetowych i systemów operacyjnych.
Pierwszymi krokami, które podjęliśmy było zdobycie jak najwięcej informacji o portalu, który mamy zabezpieczyć, a żeby to zrobić musieliśmy odkryć w nim luki bezpieczeństwa.
Jak realizowaliśmy projekt?
1) pozyskanie jak największej ilości informacji odnośnie portalu – dzięki zdobytym informacjom wiedzieliśmy jak wygląda infrastruktura serwerowa
2) testy penetracyjne aplikacji webowej czyli samego portalu
3) testy penetracyjne infrastruktury serwerowej
4) przedstawienie raportu ze znalezionymi podatnościami klientowi
5) omówienie z klientem w jaki sposób wyeliminować znalezione przez nas podatności
Co zawierał raport?
Raport, który przedstawiliśmy klientowi zawierał wszystkie podatności jakie udało nam się wykryć podczas prowadzonych badań.
Raport w liczbach
13 podatności krytycznych, z czego 8 pozwalało na zmianę treści portalu, odczytanie informacji z bazy danych portalu lub plików lokalnych na serwerach oraz zdalnego wykonaniu kodu.
Pozostałe 5 krytycznych podatności dotyczyło błędnej konfiguracji serwerów klienta.
43 podatności średnich prowadzących do ataków na użytkowników portalu.
Co zyskał klient?
Nie ma systemów teleinformatycznych w 100% bezpiecznych, ale dzięki naszej pracy wyeliminowaliśmy łącznie 56 podatności, które pozwalały na zaatakowanie serwisu. Gdyby klient nie skorzystał z naszej usługi, to pewnie w niedługim czasie naraził by się na utratę aktualnych użytkowników, przez to że jakiś atakujący przejął by kontrolę nad portalem, poznał dane wszystkich użytkowników. To jeden z czarnych scenariuszy, ale był by w 100% możliwy do zrealizowania przez atakującego.
Co zyskaliśmy my?
Zyskaliśmy kolejnego zadowolonego klienta oraz satysfakcję z dobrze wykonanej pracy przez nasz zespół. Podczas wykonywania zadania takiego typu zawsze uczymy się czegoś nowego więc dzięki temu podnieśliśmy również nasze umiejętności.