Etikus hackelés / webalkalmazás-biztonság

Penetrációs teszt egyedi webalkalmazásokhoz

Támadói szemlélettel vizsgáljuk meg, hogyan lehet megkerülni a jogosultságokat, manipulálni az üzleti folyamatokat vagy hozzáférni olyan adatokhoz, amelyekhez nem szabadna.

Kézi vizsgálat, priorizált jelentés és javítás utáni visszaellenőrzés.

Webalkalmazás penetrációs teszt és etikus hacker vizsgálat

Mit vizsgál egy webalkalmazás-pentest?

Az automatikus scanner csak a vizsgálat egyik eszköze. Az egyedi működés, a szerepkörök és az üzleti logika kézi tesztelést igényel.

Hitelesítés és munkamenet

Bejelentkezés, jelszó-visszaállítás, többfaktoros folyamat, tokenek és munkamenetek támadhatósága.

Jogosultságok

Más felhasználók adatainak elérése, szerepkörök megkerülése, admin funkciók és objektumszintű hozzáférések.

Bemenetek és integrációk

Injekciók, fájlfeltöltés, API-k, webhookok, külső szolgáltatások és szerveroldali kérések.

Üzleti logika

Ár-, kedvezmény-, jóváhagyási és tranzakciós folyamatok olyan manipulációja, amelyet egy általános eszköz nem ért.

Adatvédelem

Érzékeny adatok tárolása, továbbítása, naplózása és jogosulatlan hozzáférési lehetőségei.

Konfiguráció

Biztonsági fejlécek, hibakezelés, titkok, környezeti beállítások és szükségtelenül elérhető funkciók.

A penetrációs teszt folyamata

A vizsgálat kontrollált, előre egyeztetett hatókörben történik.

Hatókör

Egyeztetjük a célrendszereket, szerepköröket, időablakot, tiltott műveleteket és kapcsolattartókat.

Feltérképezés

Megértjük az alkalmazás funkcióit, adatfolyamait, bizalmi határait és támadási felületét.

Tesztelés

Kézi és eszközös próbákkal, ellenőrzött módon igazoljuk a kihasználható sérülékenységeket.

Jelentés és retest

Bizonyítékot, kockázati prioritást és javítási javaslatot adunk, majd ellenőrizzük a javítást.

Mit kapsz a vizsgálat végén?

Olyan jelentést, amelyet a fejlesztő és a döntéshozó is használni tud.

Vezetői összefoglaló

A legfontosabb üzleti kockázatok, érintett funkciók és javítási prioritások röviden.

Technikai bizonyíték

Reprodukálható lépések, érintett végpontok, kérés-válasz példák és a hatás leírása.

Javítási irány

Nem csak hibanevet adunk, hanem a kiváltó okhoz és az alkalmazás működéséhez illő megoldást.

Gyakori kérdések a penetrációs tesztről

Ugyanaz a sebezhetőségi vizsgálat és a penetrációs teszt?

Nem. Az automatizált sebezhetőségi vizsgálat ismert mintákat keres, a pentest pedig kézi ellenőrzéssel, szerepkörökkel és üzleti folyamatokkal is dolgozik.

Éles rendszert is lehet tesztelni?

Igen, de a hatókört és a kockázatos műveleteket előre rögzíteni kell. Ha lehetséges, egy életszerű tesztkörnyezet csökkenti az üzleti kockázatot.

Mennyi ideig tart?

Az alkalmazás méretétől, szerepköreitől és integrációitól függ. Pontos időt a rövid technikai egyeztetés és hatókör-meghatározás után lehet adni.

Van javítás utáni ellenőrzés?

Igen. A retest során ellenőrizzük, hogy a jelzett hibák javítása valóban megszüntette-e a kihasználható állapotot.

Ne az éles támadás legyen az első valódi biztonsági teszt

Írd meg, milyen alkalmazásról, technológiáról és vizsgálati célról van szó.