En penetrationstest af webapplikationer bør være en del af enhver organisations strategi vedr. IT-sikkerheden. Automatiserede værktøjer kan finde mange gængse fejl og sårbarheder i webapplikationer, men det tager en decideret penetrationstest at identificere sårbarhed i bl.a. logikken bag webapplikationens funktionalitet og problemer i rettighedsstyring. Problemer i disse områder kan lede til kompromittering af de bagvedliggende interne IT-systemer. Den bedste praksis er at få gennemført årlige penetrationstests af samtlige webapplikationer. Dette er i stigende grad blevet relevant de senere år, hvor der dagligt offentliggøres nye sårbarheder.
Udfordringen for alle organisationer er at finde ressourcerne til at gennemføre disse nødvendige årlige penetrationstests. En fuld webapplikationstest kan tage flere uger at udføre, og det kræver kvalificerede medarbejdere der er i høj efterspørgsel, hvilket øger prisen på medarbejderen og ydelsen.
Nordic Resilience tilbyder et alternativ: penetrationstest af webapplikationer der kombinerer en manuel gennemgang med automatiserede scanninger, for således at kunne reducere omkostningerne for din organisation. Vores penetrationstests af webapplikationer er opdelt i to faser.
Fase 1 er en automatiseret scanning af webapplikationen, via forskellige kommercielle og open-source værktøjer. Denne fase sender millioner af ondsindede og utilsigtede forespørgsler mod den pågældende webapplikation, for at tvinge webapplikationen til at opføre sig utilsigtet. Utilsigtede hændelser i webapplikationen kan lede til sårbarheder, som en angriber kan udnytte.
Fase 2 er en manual gennemgang af webapplikationen. Her vil der blive lagt særligt vægt på webapplikationens funktionalitet. Gennemgangen består først og fremmest af en informationsindsamlingsfase, hvor der opbygges en forståelse for webapplikationens teknologi og funktionalitet. Nordic Resilience benytter denne indsamlede information i vores penetrationstest til at gennemføre sofistikerede og kreative angreb mob den pågældende webapplikation.
Nordic Resiliences metode følger OWASP’s Web Application Penetration Testing
Leverancen består af en samlet professionel rapport der indeholder alle observerede sårbarheder og fejlkonfigurationer. Rapporten vil være opdelt i hhv. Et ledelsesreferat og en teknisk sektion. Ledelsesreferatet henvender sig til bestyrelsen, ledelsen og andre interessenter. Den tekniske sektion indeholder uddybende tekniske forklaringer på hver enkelt sårbarheder eller fejlkonfiguration. Denne sektion henvender sig således til det tekniske personale der skal udbedre observationerne, eventuelt hos en underleverandør.
Alle observationer i rapporten vil blive manuelt tildelt en risikovurdering på baggrund af sandsynligheden og konsekvensen af den pågældende observation. Risikovurderingen kan enten modtages i form af en matrice med lav/medium/høj/kritisk risiko eller via CVSS-standarden. I begge tilfælde vil risikovurderingen assistere organisationen med prioriteringen af udbedringerne.
En penetrationstest af en webapplikation tager som regel 5 arbejdsdage, men det varierer fra webapplikation til webapplikation på baggrund af den enkeltes kompleksitet.