Penetrační testy desktopových aplikací
Vaše klíčové aplikace si zaslouží být bezpečné. Přinášíme vám bezpečnostní řešení pro desktopové aplikace, abyste si udrželi důvěru zákazníků a chránili svá citlivá data.
Penetrační testy desktopových aplikací
Penetrační testy desktopových aplikací
Jsou ve srovnání s penetračními testy webových aplikací v mnoha ohledech poměrně specifické. Vyžadují komplexní znalosti jak z oblasti bezpečné autentizace, autorizace přístupů a práce s citlivými daty, tak i hluboké znalosti programovacích jazyků včetně assembleru, práce v dissambleru, debuggeru s přímým použitím kódů instrukční sady (tzv. opcodes). Výsledkem je ověření, zda je aplikace bezpečná, vhodná pro produkční nasazení a netrpí žádnou zjevnou bezpečnostní slabinou, která by mohla představovat přímé bezpečnostní riziko jak pro samotnou aplikaci, její uživatele, tak samotná data.
Následuje podrobnější výčet oblastí, které bývají z pohledu bezpečnosti desktopových aplikací i na základě našich dlouholetých zkušeností, kritické. Uvedený výčet není kompletní, nicméně podává zřetelnější představu o rozsahu a komplexnosti penetračních testů desktopových aplikací, ať již se jedná o vlastní vyvíjené řešení nebo řešení třetí strany, které se chystáte do svého prostředí nasadit. Rádi vám s řešením bezpečnosti pomůžeme.
Analýzy zdrojových kódů
Kombinace statické analýzy pomocí automatizovaných nástrojů a manuální revize kódu,
jazyky JAVA, C#, případně jiné, na dotaz.
Jsou ve srovnání s penetračními testy webových aplikací v mnoha ohledech poměrně specifické. Vyžadují komplexní znalosti jak z oblasti bezpečné autentizace, autorizace přístupů a práce s citlivými daty, tak i hluboké znalosti programovacích jazyků včetně assembleru, práce v dissambleru, debuggeru s přímým použitím kódů instrukční sady (tzv. opcodes). Výsledkem je ověření, zda je aplikace bezpečná, vhodná pro produkční nasazení a netrpí žádnou zjevnou bezpečnostní slabinou, která by mohla představovat přímé bezpečnostní riziko jak pro samotnou aplikaci, její uživatele, tak samotná data.
Následuje podrobnější výčet oblastí, které bývají z pohledu bezpečnosti desktopových aplikací i na základě našich dlouholetých zkušeností, kritické. Uvedený výčet není kompletní, nicméně podává zřetelnější představu o rozsahu a komplexnosti penetračních testů desktopových aplikací, ať již se jedná o vlastní vyvíjené řešení nebo řešení třetí strany, které se chystáte do svého prostředí nasadit. Rádi vám s řešením bezpečnosti pomůžeme.
Analýzy zdrojových kódů
Kombinace statické analýzy pomocí automatizovaných nástrojů a manuální revize kódu,
jazyky JAVA, C#, případně jiné, na dotaz.
Kritické oblasti bezpečnosti
- Aplikace ukládá citlivá data v nešifrované podobě,
- vytvořené soubory mají přiřazena vysoká přístupová práva,
- nedostatečná kontrola vstupů na straně serveru,
- zranitelnosti komunikační brány,
- možné DoS testy komunikační brány,
- citlivé údaje jsou posílány přes nešifrovaný komunikační kanál,
- SSL/TLS nedostatky (verze, algoritmy, délky klíčů, validita certifikátů),
- je použit proprietární komunikační protokol,
- nedostatky vzájemné autentizace kanálu,
- dlouhé timeouty čekání na odpověď serveru,
- nedostatečná kontrola klientských vstupů,
- možnosti obejití autentizačního schématu,
- absence použití více faktorové autentizace,
- možnosti brute-force útoku na autentizační údaje,
- slabá politika hesel,
- spustitelné soubory nejsou podepsány,
- session tokeny nejsou generovány s dostatečnou entropií,
- dlouhé trvání uživatelské relace,
- absence automatického odhlášení při neaktivitě,
- citlivé informace ukládané v cache paměti,
- ukládání citlivých informací do log souborů,
- kryptografie použita při ukládání dat není bezpečná,
- spustitelný kód obsahuje citlivé údaje,
- citlivá business logika obsažena v programu,
- vývojářské komentáře v souborech programu,
- nejsou použity žádné obfuskátory kódu,
- v paměti se nacházejí citlivá data,
- nedostatky business logiky aplikace.
Přínosy
- Patříme mezi zavedené špičky na trhu.
- Máme bohaté zkušeností na poli bezpečnosti desktopových aplikací.
- Náš tým tvoří specialisté se zkušenostmi ze stovek dílčích projektů.
- Jsme držiteli certifikací eMAPT, CISSP, OSCP, OSCE, CEH a celé řady dalších.
- Provozujeme vlastní hackerskou laboratoř na výzkum v řadě oblastí, zabývajících se bezpečností různých řešení.
- Nasloucháme klientům a přizpůsobujeme testy jejich potřebám a časovým možnostem.
- Sledujeme moderní trendy v oblasti bezpečnosti desktopových aplikací.
- Při testování klademe důraz na manuální přístup, který vede k odhalení většího množství chyb zejména v business logice aplikací oproti automatizovaným nástrojům.
Tisk do PDF
-
Pro Škoda Auto jsme provedli audity a sofistikované penetrační testy k identifikaci zranitelnosti -
Bezpečnost klientů i zaměstnanců ČSOB jsme zdokonalili nejen díky penetračním testům -
Realizace penetračních testů pro zdokonalení bezpečnosti společnosti ING -
Služby vzdělávání v oblasti kybernetické bezpečnosti pro desítky zaměstnanců společnosti OTE -
V T-Mobile jsme provedli bezpečnostní testy a audity -
Školeními zvyšujeme povědomí o kybernetické bezpečnosti zaměstnancům společnosti Broker Consulting -
V Deutsche Telekom (T-Systems) pokrýváme oblasti kybernetické bezpečnosti. -
Díky penetračním testům v Konica Minolta jsme efektivně identifikovali a opravili zranitelnost firmy -
Realizace bezpečnostních auditů a penetračních testů pro společnost ČEZ -
Zvýšení kybernetické bezpečnosti ve Fakultní nemocnici Hradec Králové
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?