This form does not yet contain any fields.
    Produkter
    Managed Security
    Top

    eSec webapplikationstest

    En service, som giver  et overblik over, hvorledes de services kunder og samarbejdspartnere benytter, ses ud fra et sikkerhedssynspunkt.
    Idag er en af de største trusler  en sårbar webapplikation.

    Ved at udføre en gennemgribende test af webapplikationen får man vished over, hvor der eventuelt skal sættes ind med ressourcer, for at eliminere de fundne svagheder.

    eSec’s Webapplikationstest tester webservere for åbne services. Testen omfatter både automatiske og manuelle angreb mod webserverprogrammet, hvad enten der er tale om IIS, Apache, Domino eller en anden webservertype.

    De fleste websteder er ikke bare statiske websider, men har en applikation kørende på webserveren. Det kan være et ”Content Management System”, der via en database gør det nemt at administrere og opdatere indholdet på webserveren.  Det kan være et mere kunderettet system til salg eller service, der har forbindelse til en database, måske inde i virksomheden.

    Målrettede angreb mod virksomheden angriber typisk disse webapplikationer, og vi har i de senere år set en stigning i antallet af automatiske angreb, der retter sig mod forskellige standardapplikationer, eller udfører automatiske forsøg på ”SQL-injection” mod applikationer.

    Hvis man ønsker at vide, hvor udsat virksomhedens Internet services er, kan eSec gennemføre en Webapplikationstest. Testen gennemføres med en blanding af automatiske værktøjer og manuel test af en erfaren sikkerhedsekspert.

    eSec udfører en webapplikationstest ud fra følgende metode:

    Indledende fase

    Testen udføres af en eSec sikkerhedsekspert ved hjælp af værktøjer, som udfører en gennemgående automatiserede test af de pågældende webapplikationer.

    Manuel fase

    Med de indhentede svar fra den indlende fase går sikkerhedseksperten igang med at gennemgå svarene og applikationen. Sikkerhedseksperten kan tillige have udvidet adgang til applikationen og derved udføre dybere test af samme.

    Rapport fase

    Med oplysningerne opnået i de to foregåender faser udfærdiger sikkerhedseksperten en rapport til $account_name. Rapporten vil præcisere hvor $account_name skal bruge ressourcerne til at ændre på fundne svagheder.

    Produktbeskrivelse

    eSec Webapplikationstesten foregår indenfor en aftalt periode over Internettet og indeholder som hovedregel tests mod nedenstående hovedområder:

    Formularer

    Webapplikationer indeholder ofte formularer med felter, hvor brugerne indskriver oplysninger. Hvis det lykkes hackere at manipulere disse formularer, kan det medføre afsløring af oplysninger eller afvikling af kommandoer på serveren.
    Uanset om applikationen er skrevet til  ASP, .NET, PHP eller andet, er det ikke sikkert, at programmørerne har sikret applikationen mod manipulation.
    Nogle applikationer kan snydes, hvis der gives et uventet input, som applikationen ikke er skrevet til at håndtere. Andre applikationer har skjulte felter som kan misbruges.   

    Brute-force af login

    Mange webapplikationer kræver, at en godkendt bruger logger ind med brugernavn og password. Ved at gætte på et stort antal brugernavn/password kombinationer kan en angriber få utilsigtet adgang, hvis der er ikke aktiveret nogle fornuftigenormer for dette område.

    Misbrug af login

    I nogle tilfælde har applikationerne en svaghed, så det er muligt for en indlogget bruger at få adgang til andre brugeres data eller systemoplysninger.

    Cookie manipulation

    Webapplikationer bruger ofte ”cookies” som huskes på brugerens PC til at gemme en tilstand i applikationen, f.eks. varer i indkøbskurven, forvalg i formularer, login ID, osv.  Hvis cookies er udformet usikkert kan de misbruges.

    Uheldig fejlhåndtering

    I nogle tilfælde er webapplikationer ikke i stand til at håndtere fejl som følge af uventet input. Fejlsituationen kan føre til afsløring af oplysninger omstier, filnavne og database, der kan bane vejen for yderligere angreb.

    Cross site scripting

    Hvis formularer er programmeret på en måde, så det er muligt at sende scriptkode ind i formular og tilbage til brugeren, kan en angriber via scriptkoden f.eks. sende fortrolige data afsted til opsamlingssider på en webserver, der er under hans kontrol.

    Brute-force browsing

    Enhver applikation indeholder filer, som relaterer til applikationens afvikling, men som ikke skal ses
    af brugerne.  Uden tilstrækkelig sikring af applikationen vil en angriber kunne læse disse sider
    og dermed få oplysninger om opsætning, paths,adgang til databaser. mv.
    Dette kan misbruges til identitets-tyveri eller afsløring af fortrolige oplysninger fra den aktuelle
    webapplikation. Cross Site Scripting kan startes fra andre websider eller en HTML mail, som man
    læser samtidigt med, at  man er logget ind på den server, der angribes. SQL injection
    Webapplikationer med en bagvedliggende database omsætter normalt brugernes input til SQL-
    statements til databasen.
    Hvis applikationen ikke er sikret tilstrækkeligt, findes der en række muligheder for at lave input, der gør det muligt at udføre SQL statements efter angribers valg. Dette kan resultere i afsløring af oplysninger, ændring af databasen og i værste fald i udførelse af operativsystemkommandoer på databaseserveren.

    Pris og udførelse

    Webapplikationer er meget forskellige i omfang og kompleksitet. Derfor vurderer vi hver enkelt opgave, før vi giver en pris på en test. Når opgaven er aftalt, kan testen udføres uden yderligere oplysninger.   I visse tilfælde kan der opstå behov for udlevering af kildetekst til udvalgte sider, så testtiden kan bruges koncentreret på afdækning af sårbarheder, fremfor gætterier omkring programmeringslayouts.