• Skuteczne testy penetracyjne

    Specjalizujemy się w testach bezpieczeństwa aplikacji internetowych, mobilnych i innych usług sieciowych.
    Pomożemy Ci zidentyfikować zagrożone obszary w Twoim oprogramowaniu.

    Więcej

  • Zaufaj naszym specjalistom

    Nasi pentesterzy mają w swoim dorobku wiele przetestowanych serwisów, w tym bankowych.
    Ochroń swoją firmę przed stratami finansowymi. Zapytaj nas o szczegóły.

    Zapytaj

Zobacz, co możemy dla Ciebie zrobić:


Przed czym chronimy

Strony i webaplikacje narażone są na różne ataki. Podczas naszych testów penetracyjnych wykrywamy następujące podatności:
  • SQL Injection (z ang., dosłownie zastrzyk SQL)

    Jeden z podstawowych ataków na strony internetowe, znajdujący zawsze na czele OWASP Top 10. Występuje w postaci luki w zabezpieczeniach aplikacji. Formy ataków SQL Injection są przede wszystkim związane z niedostatecznym walidowaniem danych wejściowych.

    Istnieje także rodzaj "ślepego" ataku, czyli Blind SQL Injection, który dostarcza jedynie pośredniej informacji na temat rezultatu wykonanego zapytania.

    Czym to grozi skuteczny atak?

    Skuteczny atak SQL Injection może mieć poważne konsekwencje, np.:

    • uzyskanie dostępu do pakietów pozwalających na zapisywanie i czytanie plików systemowych
    • możliwość dodania podzapytania do istniejących zapytań
    • można wykraść wszystkie dane z bazy
    • można dołączyć inną bazę danych do już istniejącej
  • XSS (Cross Site Scripting)

    Polega na zaimplementowaniu przez atakującego na stronie internetowej kodu, który zaangażuje użytkownika do wykonania niepożądanej akcji. Efektem może być przechwycenie dostępu do danych użytkowników lub zmiana występujących treści na stronie głównej.

    Atakujący wstrzykuje do przeglądarki ofiary skrypt javascript, który może być uruchomiony w przegląrace.

    Czym to grozi skuteczny atak?

    Użytkownik podatnej webaplikacji, będący ofiarą ataku jest zagrożony:

    • przejęciem sesji wskutek wykradnięcia cookies
    • podmianą zawartości strony www
    • zainfekowaniem aplikacji złośliwym oprogramowaniem (malware)
    • uruchomieniem keyloggera w przeglądarce
  • CSRF (Cross-site Request Forgery)

    (Wiki) Metoda ataku na serwis internetowy, która często (m.in. na skutek jednoczesnego wykorzystania) mylona jest z cross-site scripting (XSS) bądź jest uznawana za jej podzbiór. Ofiarami CSRF stają się użytkownicy nieświadomie przesyłający do serwera żądania spreparowane przez osoby o wrogich zamiarach. W przeciwieństwie do XSS, ataki te nie są wymierzone w strony internetowe i nie muszą powodować zmiany ich treści. Celem hakera jest wykorzystanie uprawnień ofiary do wykonania operacji w przeciwnym razie wymagających jej zgody. Błąd typu CSRF dotyczy również serwerów FTP.

    Czym to grozi skuteczny atak?

    Atak CSRF niesie za sobą poważne konsekwencje, a głównymi celami ataków są strony banków i sklepów, ponieważ atakujący ma możliwość:

    • wykonywać operacje finansowe na koncie ofiary
    • zakupić towar w sklepie internetowym na konto ofiary
    • podmienić dane ofiary w zaatakowanej webaplikacji
  • Path Traversal

    znany również jako „directory traversal”. Ataki, które wykorzystują błędy w aplikacjach. Polegają na dostępie do plików na serwerze Web, znajdujących się poza katalogiem Web (np. plików operacyjnych lub innych aplikacji). Z uwagi na rozwój aplikacji webowych, pojawiają się stale nowe zagrożenia

    Czym to grozi?

    .......

  • Source Disclosure (FPD – Full Path Disclosure)

    Polega na dostępie do pełnej ścieżki, wadliwie skonstruowanego skryptu. W większości przypadków powstaje na skutego wcześniejszego zaimplementowania znaków i/lub poleceń do parametrów aplikacji. Błędy FPD są klasyfikowane jako mało znaczące, lecz mogą dać początek atakom typu: SQL Injection. Głównym czynnikiem powstawania błędów jest źle skonstruowany skrypt.

    Czym to grozi?

    Podatność ta umożliwia atakującemu poznanie ścieżki do interesującego go pliku, co może ułatwić mu wykonanie innych ataków.

  • Broken Authentication and Session Management

    Sesje związane z uwierzytelnianiem często nie są odpowiednio zabezpieczone. Umożliwia to atakującym ujawnienie haseł oraz wszelkich informacji dostępowych do aplikacji. Ataki są związane z błędami występującymi w kodzie strony przez co napastnik jest w stanie przechwycić parametry sesji.

    Czym to grozi?

    Wysyłając ofierze spreparowanego linka ofiara może automatycznie zalogować się na konto atakującego w danym serwisie.

Co zawiera nasz raport?

W raporcie, który dostarczymy Tobie po zakończonych testach, znajdziesz listę zagrożeń, podatności i innych kwestii wymagających zabezpieczenia. Każdy przypadek dokładnie opiszemy i zasugerujemy niezbędne poprawki, podnoszące poziom bezpieczeństwa Twojej webaplikacji.

Ciekawe cytaty

  • If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology. Bruce Schneier
  • The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. Gene Spafford
  • If you spend more on coffee than on IT security, you will be hacked. What’s more, you deserve to be hacked. Richard Clarke

Szkolenia

Uczymy jak zostać pentesterem i jak chronić aplikacje webowe

Podstawy testów

zapytaj o cenę

Dowiesz się jak testować bezpieczeństwo aplikacji, jakich narzędzi używać i jak przygotować dobry raport z testów. Szkolenie przeznaczone dla:

  • Testerów
  • Liderów testów
  • Programistów
Zapytaj

Pentester WEB

zapytaj o cenę

Dzięki temu szkoleniu poznasz:

  • techniki ataków na webaplikacje
  • metody zabezpieczania aplikacji przed atakami
  • narzędzia automatyzujące wykrywanie podatności
  • rodzaje podatności i ich cechy
Zapytaj

Pentester MOBILE

zapytaj o cenę

Na tym szkoleniu dowiesz się o:

  • technikach ataków na aplikacje mobilne
  • mechanizmach bezpieczeństwa dostarczanych develperom
  • metodach zabezpieczania aplikacji
  • bezpieczeństwie komunikacji
Zapytaj

Socjotechnika

zapytaj o cenę

Bezpieczeństwo dotyczy nie tylko aplikacji. Szkolimy pracowników biurowych jak postępować wobec "podejrzanych" sytuacji wystepujących w biurze

Szkolenie skierowane jest do wszystkich pracowników biurowych "podpiętych" do internetu.
 

Zapytaj

Kontakt

Napisz do nas i dowiedz się czy Twoje aplikacje są bezpieczne

Tu jesteśmy

Nasze biuro mieści się w centrum Wrocławia. Jeżeli chcesz porozmawiać, zadzwoń do nas i umów się na kawę.

Zobacz gdzie się znajdujemy

Cloud Testing Sp. z o.o.
Al. Kasztanowa 3a, Wrocław
tel. 71 707 02 93

Wyślij nam wiadomość

Napisz do nas maila na adres info@testuj.pl. Możesz też skorzystać z formularza: