Penetračné testy desktopových aplikácií
Vaše kľúčové aplikácie si zaslúžia byť bezpečné. Prinášame vám bezpečnostné riešenia pre desktopové aplikácie, ktoré vám pomôžu udržať si dôveru zákazníkov a ochrániť vaše citlivé údaje.
Penetračné testy desktopových aplikácií
Penetračné testy desktopových aplikácií
V porovnaní s penetračnými testami webových aplikácií sú v mnohých ohľadoch dosť špecifické. Vyžadujú si komplexné znalosti bezpečnej autentifikácie, autorizácie prístupov a práce s citlivými dátami, ako aj hlboké znalosti programovacích jazykov vrátane jazyka assembler, dissembler, debugger s priamym využitím kódov inštrukčnej sady (tzv. opcodes). Výsledkom je overenie, či je aplikácia bezpečná, vhodná na produkčné nasadenie a či netrpí žiadnymi zjavnými bezpečnostnými nedostatkami, ktoré by mohli predstavovať priame bezpečnostné riziko pre samotnú aplikáciu, jej používateľov a samotné dáta.
Na základe našich dlhoročných skúseností uvádzame podrobnejší zoznam oblastí, ktoré sú pre bezpečnosť desktopových aplikácií kritické. Nejde o úplný zoznam, ale poskytuje jasnejšiu predstavu o rozsahu a zložitosti penetračných testov pre desktopové aplikácie, či už ide o vaše vlastné riešenie alebo riešenie tretej strany, ktoré sa chystáte nasadiť vo svojom prostredí. Radi vám pomôžeme s vaším riešením zabezpečenia.
Analýza zdrojových kódov
Kombinácia statickej analýzy pomocou automatizovaných nástrojov a manuálnej kontroly kódu,
jazyky JAVA, C# alebo iné jazyky na požiadanie.
V porovnaní s penetračnými testami webových aplikácií sú v mnohých ohľadoch dosť špecifické. Vyžadujú si komplexné znalosti bezpečnej autentifikácie, autorizácie prístupov a práce s citlivými dátami, ako aj hlboké znalosti programovacích jazykov vrátane jazyka assembler, dissembler, debugger s priamym využitím kódov inštrukčnej sady (tzv. opcodes). Výsledkom je overenie, či je aplikácia bezpečná, vhodná na produkčné nasadenie a či netrpí žiadnymi zjavnými bezpečnostnými nedostatkami, ktoré by mohli predstavovať priame bezpečnostné riziko pre samotnú aplikáciu, jej používateľov a samotné dáta.
Na základe našich dlhoročných skúseností uvádzame podrobnejší zoznam oblastí, ktoré sú pre bezpečnosť desktopových aplikácií kritické. Nejde o úplný zoznam, ale poskytuje jasnejšiu predstavu o rozsahu a zložitosti penetračných testov pre desktopové aplikácie, či už ide o vaše vlastné riešenie alebo riešenie tretej strany, ktoré sa chystáte nasadiť vo svojom prostredí. Radi vám pomôžeme s vaším riešením zabezpečenia.
Analýza zdrojových kódov
Kombinácia statickej analýzy pomocou automatizovaných nástrojov a manuálnej kontroly kódu,
jazyky JAVA, C# alebo iné jazyky na požiadanie.
Kritické oblasti bezpečnosti
- Aplikácia ukladá citlivé dáta v nezašifrovanej podobe,
- vytvorené súbory majú pridelené vysoké prístupové práva,
- nedostatočná kontrola vstupov na strane servera,
- zraniteľnosti komunikačnej brány,
- možné testy DoS komunikačnej brány,
- citlivé údaje sa odosielajú cez nešifrovaný komunikačný kanál,
- slabé miesta SSL/TLS (verzie, algoritmy, dĺžky kľúčov, validita certifikátov),
- používa sa proprietárny komunikačný protokol,
- nedostatky vo vzájomnom overovaní kanála,
- dlhý čas čakania na odpoveď servera,
- nedostatočná kontrola vstupov klienta,
- možnosti obísť autentifikačnú schému,
- nepoužívanie viacfaktorového overovania,
- možnosti útoku hrubou silou na autentifikačné údaje,
- slabá politika hesiel,
- spustiteľné súbory nie sú podpísané,
- tokeny relácie nie sú generované s dostatočnou entropiou,
- dlhé trvanie používateľskej relácie,
- chýbajúce automatické odhlásenie pri nečinnosti,
- citlivé informácie uložené v cache pamäti,
- ukladanie citlivých informácií v súboroch denníka,
- kryptografia používaná pri ukladaní údajov nie je bezpečná,
- spustiteľný kód obsahuje citlivé údaje,
- citlivá obchodná logika obsiahnutá v programe,
- komentáre vývojárov v programových súboroch,
- nepoužívajú sa obfuskátory kódu,
- citlivé údaje v pamäti,
- nedostatky v obchodnej logike aplikácie.
Benefity
- Patríme k uznávaným lídrom na trhu
- Máme rozsiahle skúsenosti v oblasti zabezpečenia desktopových aplikácií
- Náš tím tvoria špecialisti so skúsenosťami zo stoviek čiastkových projektov
- Sme držiteľmi certifikátov eMAPT, CISSP, OSCP, OSCE, CEH a mnohých ďalších
- Prevádzkujeme vlastné hackerské laboratórium na výskum v mnohých oblastiach zaoberajúcich sa bezpečnosťou rôznych riešení
- Počúvame našich klientov a prispôsobujeme testy ich potrebám a časovým obmedzeniam.
- Sledujeme moderné trendy v oblasti bezpečnosti desktopových aplikácií
- Kladieme dôraz na manuálny prístup k testovaniu, ktorý v porovnaní s automatizovanými nástrojmi vedie k odhaleniu väčšieho počtu zraniteľností, najmä v obchodnej logike aplikácií
Tlač do PDF
-
V spoločnosti T-Mobile sme vykonali bezpečnostné testy a audity -
V spoločnosti Deutsche Telekom (T-Systems) pokrývame oblasť kybernetickej bezpečnosti -
Bezpečnosť klientov a zamestnancov ČSOB sme zvýšili nielen vďaka penetračným testom -
Pre Škoda Auto sme vykonali audity a sofistikované penetračné testy na identifikáciu zraniteľností -
Realizácia penetračných testov na zvýšenie bezpečnosti spoločnosti ING
NEVÁHAJTE NÁS
KONTAKTOVAŤ
Máte záujem o ďalšie informácie alebo ponuku pre vašu konkrétnu situáciu?