{"id":5422,"date":"2019-11-12T08:17:05","date_gmt":"2019-11-12T08:17:05","guid":{"rendered":"http:\/\/shopifycoders.in\/demo\/nordiccyber\/?page_id=5422"},"modified":"2019-11-19T06:08:41","modified_gmt":"2019-11-19T06:08:41","slug":"penetration-test-of-web-service","status":"publish","type":"page","link":"https:\/\/nordicresilience.dk\/da\/penetration-test-of-web-service\/","title":{"rendered":"PENETRATIONSTEST AF WEBSERVICE"},"content":{"rendered":"[vc_row full_width=&#8221;stretch_row&#8221; css=&#8221;.vc_custom_1572854745091{padding-top: 50px !important;padding-bottom: 50px !important;background-color: #111d2e !important;}&#8221;][vc_column]<div class=\"vcex-module vcex-heading vcex-heading-plain\" style=\"color:#ffffff;font-family:&quot;Quantico&quot;;font-size:32px;font-weight:700;text-align:center;\"><span class=\"vcex-heading-inner clr\">HVORFOR<\/span><\/div>[vc_raw_html]JTNDZGl2JTIwY2xhc3MlM0QlMjJ0aXRsZS1ib3JkZXJlZCUyMiUzRSUwQSUzQ2RpdiUyMGNsYXNzJTNEJTIydGl0bGUtaW5uZXIlMjIlM0UlM0MlMkZkaXYlM0UlMEElM0MlMkZkaXYlM0U=[\/vc_raw_html][vc_column_text text_align=&#8221;center&#8221;]Webservices er ansvarlige for maskine-til-maskine kommunikation. Computere benytter dem til at kommunikere med hinanden over internettet og internt i organisationer. Webservice (ogs\u00e5 kaldet <em>Service Orientated Architechture<\/em>) applikationer er blevet gradvist mere popul\u00e6re de senere \u00e5r, da de assisterer organisationer med at interoperere og v\u00e6kste med en hastighed der er uden fortilf\u00e6lde. Webservice \u201dklienter\u201d er generelt ikke udstyret med deciderede front-ends, men er i stedet knyttet til andre back-end servere. Det er vigtigt at notere sig, at webservices er eksponeret mod internettet og\/eller interne netv\u00e6rk ligesom enhver anden service, men webservices kan benytte mange forskellige teknologier og transportprotokoller s\u00e5som HTTP, FTP, SMTP, MQ.<\/p>\n<p>P\u00e5 trods af at metoden til en penetrationstest af webservices og webapplikationer ligner hinanden, s\u00e5 sker det ofte at webservices bliver overset, bl.a. fordi deres manglende grafiske brugergr\u00e6nseflader g\u00f8r dem mere usynlige i hverdagen.<\/p>\n<p>Automatiserede v\u00e6rkt\u00f8jer kan finde mange g\u00e6ngse fejl og s\u00e5rbarheder i webservices, men det tager en decideret penetrationstest at identificere s\u00e5rbarhed i bl.a. logikken bag webservicens funktionalitet og problemer i rettighedsstyring. Problemer i disse omr\u00e5der kan lede til kompromittering af de bagvedliggende interne IT-systemer. Den bedste praksis er at f\u00e5 gennemf\u00f8rt \u00e5rlige penetrationstests af samtlige webservices. Dette er i stigende grad blevet relevant de senere \u00e5r, hvor der dagligt offentligg\u00f8res nye s\u00e5rbarheder. Det er ekstra relevant at f\u00e5 gennemf\u00f8rt \u00e5rlige penetrationstests af webservices, hvis hele eller dele af dens funktionalitet er eksponeret ud mod internettet.[\/vc_column_text][\/vc_column][\/vc_row][vc_row full_width=&#8221;stretch_row&#8221; css=&#8221;.vc_custom_1573545370772{padding-top: 50px !important;padding-bottom: 0px !important;}&#8221;][vc_column]<div class=\"vcex-module vcex-heading vcex-heading-plain\" style=\"color:#ffffff;font-family:&quot;Quantico&quot;;font-size:32px;font-weight:700;\"><span class=\"vcex-heading-inner clr\">HVORDAN<\/span><\/div><div class=\"vcex-spacing\" style=\"height:30px\"><\/div>[vc_raw_html]JTNDZGl2JTIwY2xhc3MlM0QlMjJ0aXRsZS1ib3JkZXJlZDElMjIlM0UlMEElM0NkaXYlMjBjbGFzcyUzRCUyMnRpdGxlLWlubmVyMSUyMiUzRSUzQyUyRmRpdiUzRSUwQSUzQyUyRmRpdiUzRQ==[\/vc_raw_html]<div class=\"vcex-spacing\" style=\"height:30px\"><\/div>[vc_column_text]I lighed med de sikkerhedsudfordringer der er ved webapplikationer, s\u00e5 er udfordringen ved organisationers webservices at l\u00f8bende holde dem sikre. Det er b\u00e5de en tidskr\u00e6vende og ressourcetung opgave. Hos Nordic Resilience tilbyder vi at gennemf\u00f8re en grundig og kosteffektiv sikkerhedsgennemgang af organisationens webservices, ved at kombinere automatiserede scanninger med manuelle kreative tests, for at kunne levere en effektiv og optimeret penetrationstest. Vores penetrationstests af webservices er opdelt i to faser.<\/p>\n<p>Fase 1 er en automatiseret scanning af webservicen, via forskellige kommercielle og open-source v\u00e6rkt\u00f8jer. Denne fase sender millioner af ondsindede og utilsigtede foresp\u00f8rgsler mod den p\u00e5g\u00e6ldende webservice, for at tvinge applikationen til at opf\u00f8re sig utilsigtet. Utilsigtede h\u00e6ndelser i applikationen kan lede til s\u00e5rbarheder, som en angriber kan udnytte.<\/p>\n<p>Fase 2 er en manual gennemgang af webservicen. Her vil der blive lagt s\u00e6rligt v\u00e6gt p\u00e5 webservicens funktionalitet. Gennemgangen best\u00e5r f\u00f8rst og fremmest af en informationsindsamlingsfase, hvor der opbygges en forst\u00e5else for webservicens funktionalitet og teknologi (f.eks. SOAP, REST eller JSON). Nordic Resilience benytter denne indsamlede information i vores penetrationstest til at gennemf\u00f8re sofistikerede og kreative angreb mob den p\u00e5g\u00e6ldende webservice.<\/p>\n<p>Nordic Resiliences fremgangsmetode for penetrationstests af webservices f\u00f8lger <a href=\"https:\/\/www.owasp.org\/index.php\/Testing_for_Web_Services\"><u>OWASP\u2019s Web Service Penetration Testing<\/u><\/a> guide, men vil derudover ogs\u00e5 inkluderer ekstra tests p\u00e5 baggrund af vores professionelle erfaring:[\/vc_column_text]<div class=\"vcex-spacing\" style=\"height:30px\"><\/div>[vc_row_inner el_id=&#8221;experience-list&#8221;][vc_column_inner]<div class=\"vcex-module vcex-list_item\">Configuration Og Deployment Management Tests<\/div><div class=\"vcex-module vcex-list_item\">Specifikke angreb mod arkitekturen (afh\u00e6nger af den benyttede teknologi)<\/div><div class=\"vcex-module vcex-list_item\">Tests af Identitetsstyring<\/div><div class=\"vcex-module vcex-list_item\">Authentication Tests<\/div><div class=\"vcex-module vcex-list_item\">Authorization Tests<\/div><div class=\"vcex-module vcex-list_item\">Tests af Sessionen<\/div><div class=\"vcex-module vcex-list_item\">Input Valideringstests<\/div><div class=\"vcex-module vcex-list_item\">H\u00e5ndtering af Fejl<\/div><div class=\"vcex-module vcex-list_item\">Kryptografi<\/div><div class=\"vcex-module vcex-list_item\">Logiske Tests<\/div>[\/vc_column_inner][\/vc_row_inner][\/vc_column][\/vc_row][vc_row full_width=&#8221;stretch_row&#8221; css=&#8221;.vc_custom_1572854745091{padding-top: 50px !important;padding-bottom: 50px !important;background-color: #111d2e !important;}&#8221;][vc_column]<div class=\"vcex-module vcex-heading vcex-heading-plain\" style=\"color:#ffffff;font-family:&quot;Quantico&quot;;font-size:32px;font-weight:700;\"><span class=\"vcex-heading-inner clr\">LEVERANCE OG VARIGHED<\/span><\/div><div class=\"vcex-spacing\" style=\"height:30px\"><\/div>[vc_raw_html]JTNDZGl2JTIwY2xhc3MlM0QlMjJ0aXRsZS1ib3JkZXJlZDElMjIlM0UlMEElM0NkaXYlMjBjbGFzcyUzRCUyMnRpdGxlLWlubmVyMSUyMiUzRSUzQyUyRmRpdiUzRSUwQSUzQyUyRmRpdiUzRQ==[\/vc_raw_html]<div class=\"vcex-spacing\" style=\"height:30px\"><\/div>[vc_column_text]Leverancen best\u00e5r af en samlet professionel rapport der indeholder alle observerede s\u00e5rbarheder og fejlkonfigurationer. Rapporten vil v\u00e6re opdelt i hhv. Et ledelsesreferat og en teknisk sektion. Ledelsesreferatet henvender sig til bestyrelsen, ledelsen og andre interessenter. Den tekniske sektion indeholder uddybende tekniske forklaringer p\u00e5 hver enkelt s\u00e5rbarheder eller fejlkonfiguration. Denne sektion henvender sig s\u00e5ledes til det tekniske personale der skal udbedre observationerne, eventuelt hos en underleverand\u00f8r.<\/p>\n<p>Alle observationer i rapporten vil blive manuelt tildelt en risikovurdering p\u00e5 baggrund af sandsynligheden og konsekvensen af den p\u00e5g\u00e6ldende observation. Risikovurderingen kan enten modtages i form af en matrice med lav\/medium\/h\u00f8j\/kritisk risiko eller via CVSS-standarden. I begge tilf\u00e6lde vil risikovurderingen assistere organisationen med prioriteringen af udbedringerne.<\/p>\n<p>En penetrationstest af en webapplikation tager som regel 4 arbejdsdage, men det varierer fra webapplikation til webapplikation p\u00e5 baggrund af den enkeltes kompleksitet.[\/vc_column_text][\/vc_column][\/vc_row]\n","protected":false},"excerpt":{"rendered":"<p>[vc_row full_width=&#8221;stretch_row&#8221; css=&#8221;.vc_custom_1572854745091{padding-top: 50px !important;padding-bottom: 50px !important;background-color: #111d2e !important;}&#8221;][vc_column][vc_raw_html]JTNDZGl2JTIwY2xhc3MlM0QlMjJ0aXRsZS1ib3JkZXJlZCUyMiUzRSUwQSUzQ2RpdiUyMGNsYXNzJTNEJTIydGl0bGUtaW5uZXIlMjIlM0UlM0MlMkZkaXYlM0UlMEElM0MlMkZkaXYlM0U=[\/vc_raw_html][vc_column_text text_align=&#8221;center&#8221;]Webservices er ansvarlige for maskine-til-maskine kommunikation. Computere benytter dem til at kommunikere med hinanden over internettet og internt i organisationer. Webservice (ogs\u00e5 kaldet Service Orientated Architechture) applikationer er blevet gradvist mere&hellip;<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-5422","page","type-page","status-publish","hentry","entry","no-media"],"_links":{"self":[{"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/pages\/5422","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/comments?post=5422"}],"version-history":[{"count":11,"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/pages\/5422\/revisions"}],"predecessor-version":[{"id":5542,"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/pages\/5422\/revisions\/5542"}],"wp:attachment":[{"href":"https:\/\/nordicresilience.dk\/da\/wp-json\/wp\/v2\/media?parent=5422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}