Audyt bezpieczeństwa aplikacji www, prowadzony metodą blackbox (bez znajomości kodów źródłowych ani konfiguracji aplikacji). Testy realizowane są przez manualne oraz automatyczne ataki na aplikację webową.

Przykładowy zakres audytu

  • Recenzja architektury logicznej.
  • Podstawowy audyt infrastruktury oraz sieci.
  • Zastosowanie technik Google Hacking.
  • Wykorzystanie manualnych oraz automatycznych metod prowadzenia audytu.
  • Detekcja błędów aplikacyjnych (kilka testów na każdą z poniższych klas):
  • SQL injection.
  • XSS (Cross Site Scripting) – błędy typu reflected oraz stored.
  • Detekcja zabezpieczeń na podatność CSRF (Cross Site Request Forgery)
  • Broken Authentication and Session Management (badanie losowości ID sesji, próba detekcji składni nazywania cookie sesyjnego,  sprawdzenie bezpieczeństwa budowy formularza logowania).
  • Authorization Bypass (próby dostępu do zasobów bez uwierzytelnienia użytkownika).
  • Code Execution (próby wykonania wrogiego kodu na serwerze).
  • Information Leakage (próby detekcji wycieku istotnych informacji – technicznych i biznesowych – z serwera).
  • Insecure Communications (np. dostęp do istotnych danych – np. konta administracyjnego bez szyfrowania).
  • Source Disclosure (próby prowadzące do ujawnienia kodów źródłowych wykorzystanego oprogramowania).
  • Path Traversal.
  • Open Redirection.
  • Denial of Service (DoS).
  • File Inclusion.
  • Response Splitting.
  • Testy web serwera obejmujące m.in.:
  • Bezpieczeństwo skonfigurowanego mechanizmu SSL
  • Dostępność komunikatów o błędach
  • Analiza podatności występujących w zainstalowanej wersji serwera
  • Dostępność nadmiarowych metod HTTP