Testy penetracyjne aplikacji webowych (WWW)
Wykonujemy testy bezpieczeństwa aplikacji webowych (testy penetracyjne aplikacji webowych, audyty bezpieczeństwa aplikacji webowych) zgodnie z metodyką OWASP (wliczając w to OWASP Top Ten jak również OWASP ASVS), pokrywające analizę ryzyka oraz powszechnie wykorzystywane standardy (np. PCI DSS).
Tylko nasz podstawowy zespół wykonał ponad 350+ testów penetracyjnych, łącznie ze współpracującymi konsultantami wykonaliśmy ponad 500+ testów penetracyjnych. Jesteśmy w stanie zebrać nawet → 10 ← osobowy zespół testerów penetracyjnych o najwyższych kompetencjach na polskim rynku, w którym każdy posiada minimum certyfikat OSCP – poznaj nową jakość wynikającą z naszego obszernego i wieloletniego doświadczenia zawodowego związanego z bezpieczeństwem infrastruktury krytycznej.
Nasze testy w związku z tym uwzględniają na przykład:
- Wywołanie komend na serwerze (np. RCE – Remote Code Execution),
- Różnego rodzaju wstrzyknięcia złośliwej zawartości (np. SQLi – SQL Injection; XML External Entity injection),
- Manipulacja ścieżkami (np. File Path Traversal),
- Manipulacja operacjami po stronie serwera (np. SSRF – Server-Side Request Forgery; manipulacja nagłówkami HTTP),
- Manipulacja operacjami po stronie klienta (np. XSS – Cross-Site Scripting; CSRF – Cross-Site Request Forgery; Open Redirection),
- Ujawnienie istotnych informacji (np. Source Code Disclosure),
- Weryfikacja implementacji mechanizmów autoryzacji oraz uwierzytelnienia,
- Weryfikacja konfiguracji udostępnianego sposobu szyfrowania.
To tylko przykłady, a nasze testy uwzględniają znacznie więcej, wszystko jest zależne od specyfikacji testowanej aplikacji. Audyt bezpieczeństwa realizowany jest manualnie oraz automatycznie, z perspektywny potencjalnego włamywacza, z wykorzystaniem uznanego profesjonalnego oprogramowania takiego jak Burp Suite Professional.
Nasz zespoł posiada następujące certyfikaty:
- OSCP (Offensive Security Certified Professional) – aż 10 osób z naszego zespołu!
- OSCE (Offensive Security Certified Expert)
- GXPN (GIAC Exploit Researcher and Advanced Penetration Tester)
- CISSP (Certified Information Systems Security Professional)
- CISA (Certified Information Systems Auditor)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- OSWP (Offensive Security Wireless Professional)
- CEH (EC-Council Certified Ethical Hacker)