Bithex WSC™ Öryggisúttekt og Innbrotsprófanir á Vefsíðum og Veflausnum

Posted on Posted in Þjónusta(A)

Bithex WSC (Web Security Certified) er nákvæm öryggisúttekt á veflausnum og vefsíðum og gengur út á það að finna og greina öryggisatriði og veikleika í vefsíðum og veflausnum og gefa góð ráð um úrbætur.

Um er að ræða verkefni þar sem tekið er á öllum þáttum veflausna, svo sem innskráningu, setu (e. session), gagnasíun, stillingum á vefþjónum og gagnagrunnum, stillingum á forritaþjónum, kóðarýni o.fl.

Stærsti hluti slíkra prófa er að sjálfsögðu innbrotspróf og svindlprófa á ýmsum hlutum og eiginleikum veflausnar. Bithex WSC nýtist þeim sem þurfa að fá staðfest áhættumat og stöðu upplýsingaöryggis í veflausnum og vefsíðum, hvort sem er vegna innra eða ytri krafa eða hlítingu við öryggisstaðla og reglugerðir.

Hvernig fer Bithex WSC öryggisúttekt fram?

Öryggispróf á veflausnum ganga út á það að greina alla mögulega innganga og breytur á vefsíðum. Reynt er á þekktar innbrotsleiðir og misnotkun á veflausnum ásamt því að framkvæmd eru próf þar sem reynt er að svindla á eiginleikum kerfisins, t.d. með því að ná í eða breyta stillingum annars notanda, fá aðgang að upplýsingum sem eiga ekki að vera sýnilegar, breyta verði á vörum, breyta kennitölum, stela setu (e. session), o.s.frv.

Nánar tiltekið:

  1. Við greinum kerfið og setjum upp prófanaáætlun.
  2. Við framkvæmum öryggispróf, innbrotspróf, svindlpróf og greinum atriði og veikleika.
  3. Þú gerir úrbætur til að standast kröfur.
  4. Við sannreynum lagfærslur og vottum stöðu öryggis.

Til hvers að framkvæma innbrotspróf á vefsíðum?

Spurningar sem reynt er að svara við framkvæmd öryggisprófa og áhættumats á veflausnum eru t.d. „Er mögulegt að brjótast inn í kerfið, og þá hvernig?“, „Er mögulegt að sjá hluti í kerfinu án aðgangs?“, „Getur notandi með aðgang séð upplýsingar sem hann á ekki að sjá?“, „Getur notandi með aðgang gert eitthvað óeðlilegt?“, „Hvaða líkur eru á innbroti eða misnotkun?“, „Hvernig er best að laga viðkomandi atriði?“, „Hver er öryggisstaðan í heild?“.

Hvað er innifalið í Bithex WSC öryggisúttekt?

Öryggisúttektir Bithex á veflausnum og vefsíðum samanstanda af eftirfarandi þáttum:

  • Söfnun og greining alls efnis í vefkerfinu (e. crawling, web resource analysis).
  • Greining og prófanir á setu (e. session management analysis).
  • Prófanir á stuld tenginga og kóðainnsetningu (e. session hijacking, cross site scripting).
  • Prófanir á innskráningu og harðsvírað login (e. authentication system test and brute force login).
  • Greining og prófun á gagnasíun (e. input validation).
  • Fitl við gagnabreytur í vafra (e. client side parameter tampering).
  • SQL innsláttarárásir og misnotkun (e. SQL injection attacks).
  • Innsláttur skipana frá vafra (e. remote command execution).
  • Próf á meðhöndlun villa (e. exception handling errors).
  • Aðgangur í forritakóða (e. source code disclosure).
  • Athugun og ráðgjöf um hönnun.
  • Kóðarýni fyrir öryggiseiginleika (e. code review).
  • Greining á stillingum vefþjóna, gagnagrunna og forritaþjóna.
  • Nákvæm greining og skráning atriða (e. issue reporting and tracking).
  • Bithex WSC próf uppfylla kröfur PCI DSS um öryggisúttektir á veflausnum.

Próf á misnotkun og kröfur um öryggi

Auk almennra öryggis- og innbrotsprófa eru framkvæmd próf sem taka á öryggiseiginleikum í almennri virkni kerfisins. Slík próf reyna sérstaklega á óleyfilegar aðgerðir s.s. aðgengi að upplýsingum annarra notenda, framkvæmd aðgerða í nafni annarra notenda, breytingum á eigindum annarra notenda o.s.frv. Þannig er reynt að sannreyna hvort kerfið virki eins og til er ætlast. Að baki framkvæmd öryggisprófa liggja kröfur sem byggja á stöðlum um upplýsingaöryggi svo sem OWASP Testing Guide, PCI DSS og ÍST ISO/IEC 27001.

Aðferðafræði og verkfæri í Bithex WSC

Ráðgjafar Bithex fylgja skjalfestum aðferðum í framkvæmd á allri þjónustu. Bithex WSC öryggisúttektir byggja á handvirkum og sjálfvirkum aðferðum. Fjöldi verkfæra er notaður, allt eftir eðli þeirra veflausna sem verið er að prófa. Dæmi um nokkur verkfæri eru plugin í vafra, ZAP, netcat, Fiddler, Tamper Data, veikleikaskannar fyrir veflausnir o.fl.

Verð og verðtilboð

Verð fyrir öryggisúttekt á veflausnum og vefsíðum fer eftir umfangi og gerð viðkomandi kerfis. Framkvæmd er létt greiningu á efni og samsetningu veflausnar og fast verðtilboð gefið í kjölfar þess. Vinsamlegast hafið samband varðandi nánari upplýsingar og verðtilboð.