LogicalTrust

Testy penetracyjne

Kontrolowane ataki na infrastrukturę.

Testy penetracyjne są przeprowadzane zgodnie z ustaleniami poprzedzającymi wykonanie zlecenia.

Ustalenia obejmują w szczególności następujące kwestie:

  • zakres infrastruktury, który ma podlegać testowaniu,
  • dokładny zakres czasowy ataku,
  • dopuszczalne i niedopuszczalne metody działania.

Scenariusze testowania aplikacji web.

Testy penetracyjne aplikacji web przeprowadzamy zazwyczaj w formie jednego z trzech scenariuszy:

scenariusz nr 1 (atak z zewnątrz):
testerzy posiadają tyle informacji ile standardowy użytkownik korzystający z aplikacji w legalny sposób. Ten sposób testowania pozwala wiernie zasymulować próbę ataku na aplikację z zewnątrz, zwykle z sieci Internet. Przeprowadzenie takiego scenariusza ataku pozwala określić dalsze możliwe drogi penetracji innych elementów infrastruktury.
scenariusz nr 2 (atak z wewnątrz):
testerzy posiadają pewien określony dostęp do systemu na zdefiniowanym poziomie uprawnień. Ten scenariusz pozwala np. na przetestowanie możliwości wrogiego działania pracownika na szkodę firmy. Przeprowadzenie scenariusza pozwoli na ujawnienie potencjalnych podatności aplikacji na eskalację uprawnień oraz możliwości nieuprawnionego dostępu do informacji. Wykonanie tego testu pozwala na skuteczniejsze zabezpieczenie obiegu oraz dostępu do informacji np. w firmowym intranecie.
scenariusz nr 3 (szczególny wariant scenariusza nr 2):
obejmuje testowanie podatności na eskalację uprawnień z każdego ze zdefiniowanych poziomów dostepu. Ma on na celu sprawdzenie poprawności mechanizmów autoryzacji dla badanej aplikacji.

Testy systemów operacyjnych obejmują następujące warianty:
scenariusz nr 1, atak zdalny:
Na scenariusz składa się próba zdobycia dostępu do systemu bez posiadania dostępu lokalnego.
scenariusz nr 2, atak lokalny:
Na scenariusz składa się próba przejęcia uprawnień innych użytkowników (docelowo jeżeli to możliwe, praw administratora systemu).

Testy penetracyjne sieci

Infiltracja sieci ma na celu rozpoznanie topologii, identyfikację używanych urządzeń oraz możliwości przeprowadzenia ataku na poszczególne elementy infrastruktury (wewnętrzny intranet, koncentrator VPN, serwery aplikacji, strefy DMZ, itp.).

Oferujemy:

  • Audyty bezpieczeństwa
  • Audyty eCommerce
  • Testy penetracyjne
  • Hardening struktur IT
  • Analizę ryzyka
  • Inżynierię odwrotną

Open disc

Czytaj więcej