Testy bezpieczeństwa realizowane z zewnątrz organizacji, pokazujące ewentualne możliwości:

  • przejęcia przez atakującego systemów dostępnych bezpośrednio z Internetu,
  • przeniknięcia atakującego dalej do systemów LAN
  • ataku na aplikacje webowe udostępnione do klientów
  • kradzieży danych

Przykładowy zakres audytu

  • Rekonesans dotyczący publicznych adresów IP Klient
  • Rekonesans dotyczący publicznych aplikacji webowych Klienta (również „ukrytych”)
  • Poszukiwanie istotnych, technicznych informacji o Kliencie dostępnych publicznie (OSINT)
  • Skanowanie podatności w udostępnionych usługach sieciowych
  • Lokalizacja podatności w udostępnionych aplikacjach webowych (np. próby ominięcia ekranów logowania, kradzież danych z aplikacji).
  • Po przejęciu kontroli nad co najmniej jednym z systemów – próba eskalacji ataku na pozostałe maszyny, systemy w LAN