Penetrační testy webové aplikace

Zdravím! Dostali jsme v rámci softwarového zabezpečení požadavek od jednoho z našich klientů na provedení penetračních testů naší webové aplikace. Test by měl být proveden třetí stranou. Pokud s tím máte zkušenosti, můžete někdo poradit, jak ten proces probíhá? Kdo jsou dobří poskytovatelé této služby a kolik penetrační testy typicky stojí? Moc díky za odpověďi.

Penetrační testy jako takové se většinou dělají na míru. Nevím, jak jinde, ale první krok k prověření bezpečnosti aplikace bývá scan, za léta mám odzkoušený Detectify:Detectify: Leading Website Vulnerability Scanner | Detectify

a můžeš sdělit nějaké podrobnosti? Jaká firma? Nějaké licencované testy?Je to částečně můj obor a zajišťuji testy pro klienty. Pro web se velice často používají sady od OWASP, sada je připravená a dostáváš report v pdf, který je někdy pěkně obsáhlý. Naproti tomu třeba Qualys jsou určeny pro celou platformu vč. serverů, ale již je nutná výrazná znalost problematiky.Pokud jde o průběh. Třetí strana si vyžádá dokumentaci k aplikaci (tj. co se používá, na čem to běží, seznam plugin atd., záleží na platformě), vyžádá si testovacího uživatele (zpravidla s nízkými právy), někdy si vyžádají i admin účet. Jakékoliv testování na produkci může výrazně produkci ovlivnit, často se jim tedy připravuje klon webu, kde si již mohou dělat naprosto cokoliv, jde-li to. V dopředu dohodnutou hodinu spustí testy, většina testů jsou dnes již automatických, část se jich ale pořád dělá ručně či poloručně. Testy mohou trvat i několik dní.Report takových testů bývá dokument se seznamem nalezených chyb a jejich klasifikace (tj. jak jsou závažné). Některé chyby v reportu nemusí automaticky znamenat vážnou zranitelnost, ale jedná se o porušení doporučených pravidel (přípony nahrávaných souborů, TRACE http požadavky atd.), jakákoliv diskuze ale bývá personálně náročná a je těžké prokázat, že nalezený incident je false positive, takže bývá jednoduší problém prostě vyřešit podle jejich doporučení.V rámci testů může být i prověření nastavení webového serveru, správa přihlašovacích údajů, přístup k nim a přístupy do adminstrace, přítomnost audit logu a jeho pravidelná kontrola, vnitřní postupy pro řešení běžných situací, zacházení s propuštěnými zaměstnanci, zálohy atd. atd.

Vím, že je to těžké, to hodit od boku, ale nemohl bys Tomáši v pár bodech napsat jen orientační nacenění služeb v rozsahu co jsi popsal, myslím, že by to zajímalo i ostatní.

Automatické testy se základním skenem (aktualizace serveru, aplikací, pluginů, otevřené porty, ukládání hesel, přístup do db, chování aplikace na různé vstupy, ukradení session atd.), plus ruční kontrola podkladů vychází na 10 - 40 tis podle rozsahu aplikace vč. několikahodinové konzultace nad výsledky. Jedná se o den až dva práce jednoho člověka.Automatický sken serverové části (konfigurace OS, aktualizace OS atd.) a aplikace nebo sken nastavení cloudu 30 - 100 tis. Prakticky se naceňují až 4 dny práce někoho a jeho zkušenosti. Součástí je často samozřejmě konzultace výsledků, resp. jejich prezentace.Automatické skeny a ruční individuální skeny, nebo kontrola zdrojového kódu, klidně 1mio a více. Vždy trvá dlouho udělat průzkum, projít podklady, najít a ověřit exploity, platí se hlavně za zkušenosti.Je takových skenů je vždy důležité vlastně co hledají a co testují. Nemá smysl moc testovat Wordpress, prestashop a další běžné redakční systémy, na to jsou specializované nástroje a postupy, vychází to pak daleko levněji, ale s tím nemám zkušenosti.Nejvíce stojí náklady na lidi, dobrej bezpečák výjde v nákladech na 100 - 200 tis měsíčně, tj. 5 - 10 tis na pracovní den. Je-li možné spustit test bez lidské síly nebo bez potřebných znalostí, cena může být v tisících, je-li potřeba tam někoho zaplatit, cena jde do desítek tisíc. Primárně se orientuji na enterprise sektor, tam je ještě často potřeba mít od NBÚ osvědčení alespoň na důvěrné, to opět zvyšuje náklady. Nevím přesně tak se tohle řeší v eshopovém světě, jestli jsou nějaké firmy, které se specializují nebo naopak se dělají stejné testy jako jinde.

Díky moc za odpovědi, Tomáši!V našem případě klient konkrétní testy nespecifikoval. Jednoduše chtějí "nějaký" poklad prokazující nezávislé otestování bezpečnosti aplikace. Usuzoval bych, že stačí nějaký spíše základní test, ale nemělo by to být zase ořezané na kost. Jak bys doporučil postupovat - zejména co se týče výběru firem, které můžou testování provést?Jak to běžně funguje, pokud nějaká zásadní bezpečnostní část selže? Je běžné domluvit na zopakování části testu (a upravení jeho výsledku) po opravení problému, nebo je třeba celý test dělat znova (a tím pádem platit znovu veškerý čas)?Díky!

Bezpečnost na internetu díky etickým hackerům – Hacktrophy

Ten podklad neznamená jen nějaký pdf report, ale ten musí pokrýt někdo, kdo vypadá dostatečně důvěryhodně. Pokud se najdou nějaké incidenty, nemusí to znamenat stopku, kritické bývají nežádoucí, ale ty středně závažné v určitém počtu mohou zůstávat, někdy se posuzují jednotlivé incidenty samostatně. Opakovaný průběh testu bývá v cenně nebo jen za malý poplatek, záleží jak moc je pracný, stačí ale většinou i otestovat pouze opravené problémy.Z těch malých mohu doporučit třeba https://www.insighti.com/cs/, zbytek zkus zagooglit, něco jako "penetrační testy webových aplikací" a zkus poptat.

Napsal TomášX;1564142

Ten podklad neznamená jen nějaký pdf report, ale ten musí pokrýt někdo, kdo vypadá dostatečně důvěryhodně. Pokud se najdou nějaké incidenty, nemusí to znamenat stopku, kritické bývají nežádoucí, ale ty středně závažné v určitém počtu mohou zůstávat, někdy se posuzují jednotlivé incidenty samostatně. Opakovaný průběh testu bývá v cenně nebo jen za malý poplatek, záleží jak moc je pracný, stačí ale většinou i otestovat pouze opravené problémy.

Z těch malých mohu doporučit třeba https://www.insighti.com/cs/, zbytek zkus zagooglit, něco jako "penetrační testy webových aplikací" a zkus poptat.

Díky moc!!