Bithex WSC öryggisúttekt og innbrotsprófanir á vefsíðum og veflausnum

Bithex WSC™ (Web Security Certified) er nákvæm öryggisúttekt á veflausnum og vefsíðum og gengur út á það að finna og greina öryggisatriði og veikleika í vefsíðum og veflausnum og gefa ráð um úrbætur.

Um er að ræða verkefni þar sem tekið er á öllum þáttum veflausna, svo sem innskráningu, setu (e. session), gagnasíun, stillingum á vefþjónum og gagnagrunnum, stillingum á forritaþjónum, kóðarýni o.fl.

Stærsti hluti slíkra prófa er að sjálfsögðu innbrotspróf og svindlpróf á ýmsum hlutum og eiginleikum veflausnar. Bithex WSC nýtist þeim sem þurfa að fá staðfest áhættumat og mat á stöðu upplýsingaöryggis í veflausnum og vefsíðum, hvort sem er vegna innra eða ytri krafa eða hlítingu við öryggisstaðla og reglugerðir.

Hvernig fer Bithex WSC öryggisúttekt fram?

Öryggispróf á veflausnum ganga út á það að greina alla mögulega innganga og breytur á vefsíðum. Reynt er á þekktar innbrotsleiðir og misnotkun á veflausnum ásamt því að framkvæmd eru próf þar sem reynt er að svindla á eiginleikum kerfisins, t.d. með því að ná í eða breyta stillingum annars notanda, fá aðgang að upplýsingum sem eiga ekki að vera sýnilegar, breyta verði á vörum í vefverslun, breyta kennitölum notenda, stela setu (e. session hijacking), o.fl.

Nánar tiltekið:

  1. Við greinum kerfið og setjum upp prófanaáætlun.
  2. Við framkvæmum öryggispróf, innbrotspróf, svindlpróf og greinum atriði og veikleika.
  3. Þú gerir úrbætur til að standast kröfur.
  4. Við sannreynum lagfærslur og vottum stöðu öryggis.

Til hvers að framkvæma innbrotspróf á vefsíðum?

Spurningar sem reynt er að svara með framkvæmd öryggisprófa og áhættumats á veflausnum eru t.d. „Er mögulegt að brjótast inn í kerfið, og þá hvernig?“, „Er mögulegt að sjá hluti í kerfinu án aðgangs?“, „Getur notandi með aðgang séð upplýsingar sem hann á ekki að sjá?“, „Getur notandi með aðgang gert eitthvað óeðlilegt?“, „Hvaða líkur eru á innbroti eða misnotkun?“, „Hvernig er best að laga viðkomandi atriði?“, „Hver er öryggisstaðan í heild?“.

Nánar um framkvæmd Bithex WSC öryggisúttekta?

Öryggisúttektir á veflausnum og vefsíðum samanstanda af eftirfarandi þáttum:

  • Söfnun og greining alls efnis í vefkerfinu (e. crawling, web resource analysis).
  • Greining og prófanir á setu (e. session management analysis).
  • Prófanir á stuld tenginga og kóðainnsetningu (e. session hijacking, cross site scripting).
  • Prófanir á innskráningu og harðsvírað login (e. authentication system test and brute force login).
  • Greining og prófun á gagnasíun (e. input validation).
  • Fitl við gagnabreytur í vafra (e. client side parameter tampering).
  • SQL innsláttarárásir og misnotkun (e. SQL injection attacks).
  • Innsláttur skipana frá vafra (e. remote command execution).
  • Próf á meðhöndlun villa (e. exception handling errors).
  • Aðgangur í forritakóða (e. source code disclosure).
  • Skoðun og ráðgjöf um hönnun.
  • Kóðarýni fyrir öryggiseiginleika (e. code review).
  • Greining á stillingum vefþjóna, gagnagrunna og forritaþjóna.
  • Nákvæm greining og skráning atriða (e. issue reporting and tracking).
  • Bithex WSC próf uppfylla kröfur PCI DSS um öryggisúttektir á veflausnum.

Prófun á misnotkun og kröfur um öryggi

Auk almennra öryggis- og innbrotsprófa eru framkvæmd próf sem taka á öryggiseiginleikum í almennri virkni veflausna. Slík próf reyna sérstaklega á óleyfilegar aðgerðir s.s. aðgengi að upplýsingum annarra notenda, framkvæmd aðgerða í nafni annarra notenda, breytingar á eigindum annarra notenda o.s.frv.

Aðferðafræði og verkfæri í Bithex WSC

Ráðgjafar Bithex fylgja skjalfestum aðferðum í framkvæmd á allri þjónustu. Bithex WSC öryggisúttektir byggja á handvirkum og sjálfvirkum aðferðum. Fjöldi verkfæra er notaður, allt eftir eðli þeirra veflausna sem verið er að prófa. Aðferðafræði okkar byggir á og uppfyllir staðla um öryggisúttektir á upplýsingakerfum og veflausnum, s.s. OWASP Testing Guide.

Verð og verðtilboð

Verð fyrir öryggisúttekt á veflausnum og vefsíðum fer eftir umfangi og gerð viðkomandi kerfis. Við framkvæmum létta greiningu á efni og samsetningu veflausnar og gerum fast verðtilboð. Vinsamlegast hafið samband varðandi nánari upplýsingar og verðtilboð.