Bithex WSC™ (Web Security Certified) er nákvæm öryggisúttekt á veflausnum og vefsíðum og gengur út á það að finna og greina öryggisatriði og veikleika í vefsíðum og veflausnum og gefa ráð um úrbætur.
Um er að ræða verkefni þar sem tekið er á öllum þáttum veflausna, svo sem innskráningu, setu (e. session), gagnasíun, stillingum á vefþjónum og gagnagrunnum, stillingum á forritaþjónum, kóðarýni o.fl.
Stærsti hluti slíkra prófa er að sjálfsögðu innbrotspróf og svindlpróf á ýmsum hlutum og eiginleikum veflausnar. Bithex WSC nýtist þeim sem þurfa að fá staðfest áhættumat og mat á stöðu upplýsingaöryggis í veflausnum og vefsíðum, hvort sem er vegna innra eða ytri krafa eða hlítingu við öryggisstaðla og reglugerðir.
Hvernig fer Bithex WSC öryggisúttekt fram?
Öryggispróf á veflausnum ganga út á það að greina alla mögulega innganga og breytur á vefsíðum. Reynt er á þekktar innbrotsleiðir og misnotkun á veflausnum ásamt því að framkvæmd eru próf þar sem reynt er að svindla á eiginleikum kerfisins, t.d. með því að ná í eða breyta stillingum annars notanda, fá aðgang að upplýsingum sem eiga ekki að vera sýnilegar, breyta verði á vörum í vefverslun, breyta kennitölum notenda, stela setu (e. session hijacking), o.fl.
Nánar tiltekið:
- Við greinum kerfið og setjum upp prófanaáætlun.
- Við framkvæmum öryggispróf, innbrotspróf, svindlpróf og greinum atriði og veikleika.
- Þú gerir úrbætur til að standast kröfur.
- Við sannreynum lagfærslur og vottum stöðu öryggis.
Til hvers að framkvæma innbrotspróf á vefsíðum?
Spurningar sem reynt er að svara með framkvæmd öryggisprófa og áhættumats á veflausnum eru t.d. „Er mögulegt að brjótast inn í kerfið, og þá hvernig?“, „Er mögulegt að sjá hluti í kerfinu án aðgangs?“, „Getur notandi með aðgang séð upplýsingar sem hann á ekki að sjá?“, „Getur notandi með aðgang gert eitthvað óeðlilegt?“, „Hvaða líkur eru á innbroti eða misnotkun?“, „Hvernig er best að laga viðkomandi atriði?“, „Hver er öryggisstaðan í heild?“.
Nánar um framkvæmd Bithex WSC öryggisúttekta?
Öryggisúttektir á veflausnum og vefsíðum samanstanda af eftirfarandi þáttum:
- Söfnun og greining alls efnis í vefkerfinu (e. crawling, web resource analysis).
- Greining og prófanir á setu (e. session management analysis).
- Prófanir á stuld tenginga og kóðainnsetningu (e. session hijacking, cross site scripting).
- Prófanir á innskráningu og harðsvírað login (e. authentication system test and brute force login).
- Greining og prófun á gagnasíun (e. input validation).
- Fitl við gagnabreytur í vafra (e. client side parameter tampering).
- SQL innsláttarárásir og misnotkun (e. SQL injection attacks).
- Innsláttur skipana frá vafra (e. remote command execution).
- Próf á meðhöndlun villa (e. exception handling errors).
- Aðgangur í forritakóða (e. source code disclosure).
- Skoðun og ráðgjöf um hönnun.
- Kóðarýni fyrir öryggiseiginleika (e. code review).
- Greining á stillingum vefþjóna, gagnagrunna og forritaþjóna.
- Nákvæm greining og skráning atriða (e. issue reporting and tracking).
- Bithex WSC próf uppfylla kröfur PCI DSS um öryggisúttektir á veflausnum.
Prófun á misnotkun og kröfur um öryggi
Auk almennra öryggis- og innbrotsprófa eru framkvæmd próf sem taka á öryggiseiginleikum í almennri virkni veflausna. Slík próf reyna sérstaklega á óleyfilegar aðgerðir s.s. aðgengi að upplýsingum annarra notenda, framkvæmd aðgerða í nafni annarra notenda, breytingar á eigindum annarra notenda o.s.frv.
Aðferðafræði og verkfæri í Bithex WSC
Ráðgjafar Bithex fylgja skjalfestum aðferðum í framkvæmd á allri þjónustu. Bithex WSC öryggisúttektir byggja á handvirkum og sjálfvirkum aðferðum. Fjöldi verkfæra er notaður, allt eftir eðli þeirra veflausna sem verið er að prófa. Aðferðafræði okkar byggir á og uppfyllir staðla um öryggisúttektir á upplýsingakerfum og veflausnum, s.s. OWASP Testing Guide.
Verð og verðtilboð
Verð fyrir öryggisúttekt á veflausnum og vefsíðum fer eftir umfangi og gerð viðkomandi kerfis. Við framkvæmum létta greiningu á efni og samsetningu veflausnar og gerum fast verðtilboð. Vinsamlegast hafið samband varðandi nánari upplýsingar og verðtilboð.