Penetrační testy aplikací

Provádíme penetrační testování API, webových, mobilních či desktopových aplikací. Testy provádíme dle metodiky OWASP, která zahrnuje více než 90 oblastí zabezpečení a našich best practices.

Aplikace jsou nepochybně základem byznysu. Při vývoji aplikací se dbá primárně na funkcionalitu, vzhled a jistě i na cenu. Proto se aplikace doporučují svěřit penetračnímu testerovi jak před nasazením do produkce, tak i pravidelně při jejich používání. Některé bezpečnostní nedostatky vycházejí už z chybného návrhu aplikace.

Kontaktute nás
Více o testech

Náš tým

Přizpůsobení testů

Nabízíme různé typy pentestů, každý z nich můžeme upravit dle specifických potřeb a požadavků.

Více než 12 let praxe

Naši testeři mají rozsáhlé zkušenosti v oblasti kybernetické bezpečnosti a penetračních testů.

Záruka kvality

Certifikace potvrzují odborné znalosti a dovednosti našich testerů v oblasti penetračních testů.

Spokojení klienti

Jsme hrdí na více než 500 testů, které jsme provedli pro klienty v různých odvětvích, kteří se k nám vrací.

Integra TEAM

Máme jeden z největších týmu penetračních testerů v České Republice.

Jsme držitelé více než 20 různých certifikací v oblasti etického hackingu.

Penetrační testy provádíme na míru, abychom poskytli co nejrelevantnější výsledky za efektivní cenu. 

KONTAKTUJTE NÁS

Hlavní oblasti testů aplikací

Penetrační testy aplikací se zaměřují zejména na prověření možností úniku dat, zneužití nebo krádež identity uživatele, eskalaci uživatelských oprávnění a neoprávněného přístupu a manipulaci s daty.

Součástí testů je také prověření bezpečnosti autentizačních a autorizačních mechanismů a způsobu zacházení s citlivými informacemi v rámci testovaných aplikací.

  • Prověření možnosti úniku dat.
  • Možnosti zavlečení škodlivého kódu.
  • Zneužití nebo krádež identity uživatele.
  • Neoprávněný přístup do systému a k datům.
  • Statická analýza binární aplikace.
  • Možnosti jak obejít, nebo narušit funkční logiku aplikace.
  • Ochrana uživatelských účtů, politika hesel, zamykání účtů, proces registrace nebo existence testovacích účtů.

Nejčastější nálezy

  • Injection – propašování škodlivého kódu, vykrádání databází.
  • Nedostatečné zabezpečení uživatelských účtů.
  • Cross-Site Scripting (XSS) získání přihlašovacích údajů.
  • Nedostatečné ověřování uživatelských práv pro důležité akce.
  • Neaktualizovaný SW, zneužití známých zranitelností.
  • Přenos citlivých dat nezabezpečeným kanálem, ukládání v otevřené formě.

Black box

  • Penetrační tester mapuje prostředí stejnými metodami jako hacker bez jakéhokoliv informací.
  • Časově náročnější, primární scénáře tetování jsou na autentizační mechanizmus a související infrastrukturu aplikace.

Grey box

  • Black box test +
  • Tester dostává také přístupové údaje do aplikace a testuje zevnitř.
  • Nejvhodnější a nejčastější forma penetračních testů aplikací.
  • Detailní testování, které prověří všechny vektory útoku.

White box

  • Grey box test +
  • Zadavatel poskytuje zdrojové kódy,  a veškerou dokumentaci.
  • Toto testování se navíc specializuje na hlubší problémy v aplikaci jako jsou nebezpečné řetězce dílčích zranitelností a chyby v logice kódu aplikace.
Rectangle 36

Testování mobilních aplikací (iOS & Android)

Mobilní aplikace jsou známou slabou stránkou informačních systémů.

Díky penetračnímu testování mobilních aplikací mohou společnosti získat přehled o zranitelnosti zdrojových kódů, problémových místech a útočných vektorech na tyto aplikace.

Testujeme platformy Android i iOS.

Chci otestovat aplikaci

Hlavní testovaní scénáře

  • Insecure Data Storage - zaměření na možnosti úniku a zneužití dat v telefonu/tabletu.
  • Insufficient Cryptography - prověření bezpečnosti komunikace mezi aplikacemi a servery.
  • Insecure Authorization - zaměřuje se na dostatečnou autorizaci uživatele, ověřuje možnosti eskalace uživatelských práv.
  • Reverse Engineering - analýza kódu aplikace.

Nejčastější nálezy

  • Nedostatečná autorizace vůči API.
  • Slabé zabezpečení proti MITM (Man In The Middle) útokům.
  • Přístupové údaje uložené v kódu aplikace.
  • Nedostatečné zabezpečení citlivých údajů uložených v mobilních zařízeních.

Naši klienti

Pro vaši maximální spokojenost

Konzultace zdarma

Nabízíme bezplatnou konzultaci, během které s vámi probereme vaše specifické potřeby a navrhneme optimální řešení pro penetrační testování.

Moderní nástroje a metody

Používáme nejmodernější nástroje a metody pro penetrační testování, abychom zajistili co nejvyšší efektivitu a spolehlivost.

Certifikát z testu

Získáte od nás zdarma také certifikát, který můžete prezentovat auditu, nebo vašim klientům.

ONLINE SCHŮZKA ZDARMA

Vyhodnocení penetračních testů

Po provedení každého penetračního testu následuje fáze zdokumentování celého průběhu testu, popis veškerých nalezených zranitelností s ohodnocením jejich závažnosti podle klasifikace CVSS.

Jedná se o technickou část zprávy, která je určena bezpečnostním manažerům, technikům a vývojářům aplikací, kdy ke každé zranitelnosti je také dáno doporučení, jak danému problému předejít nebo ho vyřešit.

V závěru reportu naleznete manažerské shrnutí, které srozumitelným způsobem vysvětluje managementu firmy nalezené zranitelnosti a bezpečnostní mezery, jejich závažnost a cesty, jak veškeré problémy odstranit.

Na přání vám můžeme zaslat vzorovou výslednou zprávu.

Konzultace zdarma
Jak vypadá výsledný report?
Návrh bez názvu

Kontaktujte nás

Napište nám na kontaktní formulář a náš specialista se vám ozve do 24 hodin.

Můžeme se společně také sekat v našich kancelářích v Praze nebo Brně.

Kontaktní formulář

IČO: 24216941 / DIČ: CZ24216941

U Sluncové 666/12a
186 00, Praha 8

Contracting IT specialistů

Penetrační testy

Vývoj SW na míru

Pracovní příležitosti

Naši klienti

Více o nás

Integra Czech Republic, s.r.o
info@integra.cz
+420 214 214 602

© 2024 ALL RIGHTS RESERVED

Instagram

Etický kodex INTEGRA

Request for sample report of test results

Žadost o vzorovou zprávu výsledků z testu