Kontrola zdrojových kódov
Analýza zdrojového kódu odhalí skryté hrozby, slabé miesta v aplikácii, ktoré nie je ľahké odhaliť bežnými penetračnými testami. Po preskúmaní kódu vám predložíme podrobný opis zraniteľností s konkrétnymi odporúčaniami na nápravu.
Bezpečný vývoj a revízia zdrojového kódu:
Advanced white-box Preverujeme bezpečnosť aplikácií kombináciou revízie bezpečnosti kódu, penetračných testov a auditov cieľových aplikácií.
Checkmarx Pomáhame klientom implementovať pokročilé riešenia spoločnosti Checkmarx na automatizovanú analýzu zdrojových kódov (CxSAST), analýzu zloženia aplikácií (CxSCA) a školenia vývojárov (Codebashing).
Školenia a konzultačná činnosť Poskytujeme školenia o bezpečnom vývoji v procedurálnej (SSDLC) aj technickej oblasti (bezpečný vývoj webových aplikácií).
Code review
- Revízia aplikácií v mnohých populárnych jazykoch (Java, C#, PHP, ...).
- Interná metodológia založená na skúsenostiach z bezpečného vývoja a penetračných testov, vychádzajúca z uznávaných štandardov projektu OWASP.
- Umožňuje odhaliť vývojárske chyby, backdoory, chyby v návrhu, nedodržiavanie best practices, používanie slabej kryptografie a mnoho ďalších zraniteľností v aplikácii.
- Code review pozostáva z dvoch hlavných častí analýzy:
- Automatizovaná revízia celého kódu pomocou open-source a proprietárnych nástrojov a revízia výsledkov bezpečnostným špecialistom.
- Manuálna revízia celého kódu alebo jeho čiastkových častí vybraných klientom alebo bezpečnostným špecialistom.
- Nájdené zraniteľnosti sú podrobne opísané a sú poskytnuté odporúčania s prihliadnutím na použitý technologický stack.
Advanced white-box
- Pokročilá forma white-box testovania.
- Kombinácia penetračných testov, code review a prípadne ďalších disciplín.
- Dosahuje vyššiu kvalitu a efektívnosť spojením síl etických hackerov s expertmi na bezpečný vývoj.
- Maximalizuje úžitok z viacerých bezpečnostných disciplín.
Checkmarx
- CxSAST - nástroj na automatizovanú statickú analýzu zdrojových kódov, ktorý možno integrovať so širokým spektrom technológií.
- CxSCA - nástroj na analýzu kompozície softwaru zameraný na vyhľadávanie zraniteľných softwarových závislostí a licenčných konfliktov.
- Codebashing - platforma na vzdelávanie vývojárov v oblasti písania bezpečného kódu.
Školenia a konzultačná činnosť
- Školenie technického a procesného charakteru.
- Konzultácie v oblasti bezpečného vývoja.
Prípadová štúdia
Počas penetračných testov sme objavili niekoľko veľmi závažných autentifikačných a autorizačných zraniteľností, ktoré by mohli útočníkovi umožniť prístup k profilu a finančným informáciám všetkých používateľov produktu. Tieto veľmi dôležité dáta by mohli byť hackermi zneužité napríklad pri phishingových kampaniach zameraných na používateľov alebo pri priamych útokoch na inštitúciu. Ak by táto situácia nastala v reálnej prevádzke, spoločnosti by hrozili veľké finančné straty, s tým spojená strata klientskej základne a poškodenie dobrého mena. Keďže však penetračné testy boli vykonané včas pred zverejnením aplikácie do reálnej prevádzky, tomuto závažnému incidentu sa podarilo predísť.
Analýza návrhu a reálneho stavu aplikácie navyše poukázala na niektoré odchýlky od dohodnutých požiadaviek, napríklad v oblasti spracovania používateľských dokumentov, ktorá podlieha zákonu GDPR, čo dodávateľ v aplikácii dostatočne nezabezpečil. Klientovi sa preto podarilo v rámci zmluvy dohodnúť urýchlenú bezplatnú opravu a zvýšiť tak úroveň zabezpečenia svojej mobilnej aplikácie.
Benefity
- Pri analýze zdrojového kódu kladieme dôraz na manuálne kontroly, ktoré vedú k odhaleniu väčšieho počtu chýb ako bežné automatizované riešenia
- Analýza zdrojového kódu odhalí skryté hrozby a slabé miesta v aplikácii, ktoré sa bežnými penetračnými testami nedajú ľahko odhaliť
- Po preskúmaní kódu vám predložíme podrobný opis zraniteľností s konkrétnymi odporúčaniami na nápravu
NEVÁHAJTE NÁS
KONTAKTOVAŤ
Máte záujem o ďalšie informácie alebo ponuku pre vašu konkrétnu situáciu?