ניתוח אבטחת יישומים

חברת Shtein Solutions מספקת שירותי בדיקות חדירה טכניות בתחום ה-WEB, בדיקות תשתיתיות, בדיקות אפליקציה ובדיקות מובייל. הניסיון שלנו - 13 שנים, מדבר בעד עצמו.

כולם יודעים שכל האפליקציות פגיעות - השאלה היחידה היא עד כמה הפרצות הללו מסוכנות עבור החברה שלך. נזהה חולשות ביישומי מובייל ו-web, במערכות תחזוקה מרחוק ונפתח המלצות לביטול הפגיעויות שזוהו.

כדי לנתח את אבטחת היישומים, אנו משתמשים בתקנים ובשיטות עבודה מודרניות:

• OWASP TOP 10
• OWASP Top 10 API Security Risks
• OWASP Web Security Testing Guide (WSTG)
• OWASP Mobile Application Security Testing Guide (MASTG)
• NIST SP 800-115
• PCI Penetration Testing Guidance

באופן כללי, סדר העבודה הוא כדלקמן:

• קבלת מידע ראשוני על אפליקציה של הלקוח. נעשה שימוש באותם מקורות מידע הזמינים לתוקפים (אינטרנט, חדשות, כנסים).
• זיהוי נקודות תורפה בשירותי רשת ויישומים.
• ניתוח יישומי אינטרנט של לקוחות. הפגיעויות הבאות מזוהות באמצעות כלי עזר אוטומטיים ושיטות ידניות:
  • SQL Injection
  • Cross-Site Scripting
  • Content Spoofing
  • OS Commanding
  • vulnerabilities associated with incorrect configuration authentication and authorization mechanisms
  • וכו'
• ניצול נקודות תורפה. שיטות וכלים נבחרים בנפרד עבור כל סוג של פגיעות. נעשה שימוש גם בכלי שירות זמינים לציבור וגם בכלים קנייניים.

תוצאת העבודה תהיה דוח המכיל:

• מתודולוגיה של בדיקת חדירה.
• מסקנות לניהול המכילות הערכה כוללת של רמת האבטחה.
• תיאור של ליקויים שזוהו.
• המלצות לטיפול בפגיעויות שזוהו.

העבודות הבאות יכולות להיות המשך הגיוני של בדיקת חדירה:

• תכנון והטמעה של מערכות אבטחה
• תכנון והטמעה של מערכת ניהול של אבטחת המידע
• ניטור האבטחה של היקף הרשת הארגונית