Hitelesítés és munkamenet
Bejelentkezés, jelszó-visszaállítás, többfaktoros folyamat, tokenek és munkamenetek támadhatósága.
WebShield
Támadói szemlélettel vizsgáljuk meg, hogyan lehet megkerülni a jogosultságokat, manipulálni az üzleti folyamatokat vagy hozzáférni olyan adatokhoz, amelyekhez nem szabadna.
Kézi vizsgálat, priorizált jelentés és javítás utáni visszaellenőrzés.
Az automatikus scanner csak a vizsgálat egyik eszköze. Az egyedi működés, a szerepkörök és az üzleti logika kézi tesztelést igényel.
Bejelentkezés, jelszó-visszaállítás, többfaktoros folyamat, tokenek és munkamenetek támadhatósága.
Más felhasználók adatainak elérése, szerepkörök megkerülése, admin funkciók és objektumszintű hozzáférések.
Injekciók, fájlfeltöltés, API-k, webhookok, külső szolgáltatások és szerveroldali kérések.
Ár-, kedvezmény-, jóváhagyási és tranzakciós folyamatok olyan manipulációja, amelyet egy általános eszköz nem ért.
Érzékeny adatok tárolása, továbbítása, naplózása és jogosulatlan hozzáférési lehetőségei.
Biztonsági fejlécek, hibakezelés, titkok, környezeti beállítások és szükségtelenül elérhető funkciók.
A vizsgálat kontrollált, előre egyeztetett hatókörben történik.
Egyeztetjük a célrendszereket, szerepköröket, időablakot, tiltott műveleteket és kapcsolattartókat.
Megértjük az alkalmazás funkcióit, adatfolyamait, bizalmi határait és támadási felületét.
Kézi és eszközös próbákkal, ellenőrzött módon igazoljuk a kihasználható sérülékenységeket.
Bizonyítékot, kockázati prioritást és javítási javaslatot adunk, majd ellenőrizzük a javítást.
Olyan jelentést, amelyet a fejlesztő és a döntéshozó is használni tud.
A legfontosabb üzleti kockázatok, érintett funkciók és javítási prioritások röviden.
Reprodukálható lépések, érintett végpontok, kérés-válasz példák és a hatás leírása.
Nem csak hibanevet adunk, hanem a kiváltó okhoz és az alkalmazás működéséhez illő megoldást.
Nem. Az automatizált sebezhetőségi vizsgálat ismert mintákat keres, a pentest pedig kézi ellenőrzéssel, szerepkörökkel és üzleti folyamatokkal is dolgozik.
Igen, de a hatókört és a kockázatos műveleteket előre rögzíteni kell. Ha lehetséges, egy életszerű tesztkörnyezet csökkenti az üzleti kockázatot.
Az alkalmazás méretétől, szerepköreitől és integrációitól függ. Pontos időt a rövid technikai egyeztetés és hatókör-meghatározás után lehet adni.
Igen. A retest során ellenőrizzük, hogy a jelzett hibák javítása valóban megszüntette-e a kihasználható állapotot.
Írd meg, milyen alkalmazásról, technológiáról és vizsgálati célról van szó.