Identyfikacja błędów bezpieczeństwa

Testy penetracyjne aplikacji

Doradztwo w zakresie cyberbezpieczeństwa

Czy wiesz, że Twoim produktem zainteresowani są nie tylko potencjalni Klienci, ale również cyberprzestępcy, których skuteczne ataki narażą Cię na straty wizerunkowe i finansowe?
Świetnie - bo świadomość to pierwszy krok do sukcesu.
Kolejnym jest zadbanie o bezpieczeństwo. Limpid Security przejdzie przez ten proces razem z Tobą.

Poznaj naszą ofertę
audyt bezpieczeństwa IT

Audyt bezpieczeństwa

testy penetracyjne

Testy penetracyjne

Ciekawi Cię czy cyberprzestępcy poradziliby sobie z zabezpieczeniami Twojego systemu? Odpowiemy na to pytanie przeprowadzając symulację ataku. Staniemy w roli atakującego - z jedyną różnicą. Po naszych testach penetracyjnych zamiast strat, które wyrządziłby atakujący - zyskasz wiedzę o znalezionych błędach.

vulnerability assessment, identyfikacja podatności

Vulnerability assessment

Jak bezpieczny jest Twój system? Odpowiedzi udzieli vulnerability assessment, czyli ocena podatności. Przeanalizujemy Twój produkt, identyfikując w nim błędy bezpieczeństwa.

Nie wiesz co wybrać? To nic złego!
W wielu przypadkach nasze testy bezpieczeństwa łączą elementy każdej z powyższych form, tak aby dostosować się do Twoich oczekiwań.
Nie tylko doradzimy, które z modeli dadzą najbardziej miarodajne wyniki, ale również dokonamy bezpłatnej wyceny.

Skontaktuj się z nami

Nasze usługi

Testy penetracyjne
Audyt bezpieczeństwa IT
Vulnerability assessment
Konsulting z zakresu cyberbezpieczeństwa

Referencje

Dbamy o bezpieczeństwo nie tylko naszych Klientów, ale całego Internetu - zgłaszając podatności w znanych produktach.
Dowiedz się więcej o Limpid Security.

Skontaktuj się z nami

Potrzebujesz wyceny? Zrobimy ją za darmo! Nie wiesz, która usługa sprawdzi się najlepiej? Zaproponujemy najlepszą formę testów bezpieczeństwa dla Ciebie - napisz do nas.

Poznaj szczegóły

testy bezpieczeństwa IT

Testy bezpieczeństwa

testy penetracyjne, pentest

Testy penetracyjne

Dowiedz się więcej o naszej podstawowej usłudze:

konsulting w zakresie bezpieczeństwa IT, doradztwo w zakresie cyberbezpieczeństwa

Prezentacja wyników

Zobacz jak przystępne i zrozumiałe są nasze:

Testy bezpieczeństwa aplikacji webowych

Strony WWW przerodziły się w pełni funkcjonalne aplikacje, a mnogość operacji jakie oferują otwiera przed atakującym całą gamę potencjalnych scenariuszy, w których może zaszkodzić Tobie i Twoim Klientom. Troska o bezpieczeństwo strony internetowej stała się nieodłącznym elementem dbania o wizerunek firmy.

Przeprowadzamy testy bezpieczeństwa aplikacji webowych z uwzględnieniem takich metodyk jak OWASP TOP 10 oraz OWASP ASVS - wzbogacając je o nasze wieloletnie doświadczenie. W naszej ofercie znajdują się:

  • testy penetracyjne
    Symulacja ataku na aplikację, mająca na celu odnotowanie słabości związanych z systemem
  • audyt bezpieczeństwa
    Weryfikacja produktu pod kątem uprzednio zdefiniowanych norm i standardów.
  • vulnerability assessment
    Identyfikacja podatności w systemie, której wyniki pozwalają ocenić poziom bezpieczeństwa produktu

Wybór odpowiedniej usługi dostosowywany jest do oczekiwań Klienta. Nasze testy bezpieczeństwa łączą każdą z powyższych form. Dlatego już na etapie darmowej wyceny Twojego produktu doradzimy, które z nich (i w jakich proporcjach) dadzą najbardziej miarodajne i satysfakcjonujące wyniki.

Dysponujemy wiedzą, która pozwoli przeprowadzić testy bezpieczeństwa aplikacji internetowej napisanej w dowolnej technologii webowej. Jesteśmy na bieżąco z nowinkami technologicznymi, a także prowadzimy własne, niezależne badania, które pozwalają na identyfikację podatności nie tylko w samej aplikacji, ale również błędów stricte związanych z technologią, którą testujemy. Dokonujemy oceny bezpieczeństwa zarówno autorskich stron internetowych, jak i gotowych rozwiązań (takich jak Wordpress, Drupal, Joomla i wiele innych).

  • Stajemy w roli atakującego
    Testy penetracyjne aplikacji webowych przeprowadzamy głównie metodą black-box (bez dostępu do kodu źródłowego). Zdajemy sobie sprawę, że każda analiza bezpieczeństwa ograniczona jest przez ramy czasowe. Dlatego w pierwszej kolejności badamy komponenty, które szczególnie zainteresują atakującego i których bezpieczeństwo jest kluczowe dla Twojej firmy.

  • Analizujemy błędy programistów
    Kreatywność pozwala nam wcielić się w tok myślowy Twoich deweloperów i przeanalizować, w którym momencie mogli popełnić błąd. Dogłębna próba ustalenia procesu powstawania aplikacji webowej pozwala na identyfikację wielu podatności, które umknęły uwadze Twoim programistom oraz z których znalezieniem nie poradzi sobie żadne automatyczne narzędzie.

Testy bezpieczeństwa aplikacji mobilnych

Era smartfonów sprawia, że aplikacje wgrywane na nasze telefony stają się coraz częstszym celem ataków. Aby uchronić przed nimi Ciebie i Twoich klientów, oferujemy testy bezpieczeństwa aplikacji mobilnych tworzonych na systemy:

  • Android

  • iOS


  • Dbamy o bezpieczeństwo Twoich Klientów poprzez identyfikację podatności w produkcie, który im oferujesz.
    W naszej ofercie znajdują się testy penetracyjne, vulnerability assessment oraz audyt bezpieczeństwa aplikacji mobilnej. Analizujemy produkt z wykorzystaniem metodyk OWASP Top 10 i OWASP MASVS – poszerzając je o nasze wieloletnie doświadczenie.
    Badamy aplikacje poddając je analizie statycznej oraz dynamicznej. Przeprowadzamy inżynierię wsteczną (ang. reverse engineering) dostarczonego produktu, tak, aby nasze testy penetracyjne aplikacji mobilnej wykonywane były metodą gray-box (z częściowym dostępem do kodu źródłowego).
  • Wykrywamy błędy po stronie API Twojego serwera, z którym komunikuje się aplikacja mobilna.
    Testy penetracyjne API serwera, z którym łączy się aplikacja stanowią istotny element oceny bezpieczeństwa Twojego produktu. Identyfikujemy błędy w mechanizmach web services (m.in. SOAP, REST, JSON i wiele innych).
  • Dokonujemy ewaluacji zaimplementowanych mechanizmów bezpieczeństwa.
    Określamy czy i w jaki sposób aplikacja przechowuje wrażliwe dane. Analizujemy zachowanie produktu podczas działania na zrootowanych systemach Android i iOS (jailbreak). Oceniamy poziom zaciemnienia (obfuskacji) kodu, a także doradzamy i sugerujemy, które z dodatkowych mechanizmów bezpieczeństwa powinny zostać wdrożone.
Nasza oferta obejmuje nie tylko aplikacje natywne (iOS, Android), ale również rozwiązania hybrydowe oraz cross-platform. Identyfikacja i naprawa błędów w aplikacjach mobilnych to korzyść zarówno dla Ciebie, jak i osób, które będą używały Twojego produktu.

Testy penetracyjne

Testy penetracyjne pozwalają zbadać bezpieczeństwo produktu z punktu widzenia atakującego. Jest to symulacja ataku, która pozwoli ustalić słabości systemu.

Każdy cyberprzestępca posiada wcześniej zdefiniowane cele. Dla jednych będzie to wydobycie danych Twoich klientów z bazy danych, dla innych dostęp do serwera, a następnie dalsza eskalacja uprawnień i dostęp do sieci wewnętrznej firmy. Weryfikując bezpieczeństwo Twojego produktu, prezentujemy wachlarz scenariuszy ataków, priorytetyzując podatności, które prowadzą do określonego celu, oraz odnotowując błędy z mniejszym stopniem zagrożenia, które zostały zidentyfikowane.

  • Testy penetracyjne aplikacji webowych

Przeprowadzamy testy penetracyjne stron WWW i aplikacji internetowych. Realizowane są one głównie w charakterze black-box (bez dostępu do kodu źródłowego). Taka forma pozwala na najbardziej wiarygodne odzwierciedlenie ataku cyberprzestępców na Twój produkt.
Poznaj naszą dokładniejszą ofertę dotyczącą aplikacji webowych.

  • Testy penetracyjne aplikacji mobilnych

Wykonujemy testy penetracyjne Android, iOS, rozwiązań cross-platform oraz hybrydowych. Skupiają się one głównie na dwóch głównych obszarach. Forma black-box wykorzystywana jest przede wszystkich podczas analizy części serwerowej (web services, API). Gray-box (czyli metoda z częściowym dostępem do kodu źródłowego) - z uwagi na możliwość dekompilacji aplikacji - wykorzystywana jest w części mobilnej.
Poznaj naszą dokładniejszą ofertę dotyczącą aplikacji mobilnych.

  • Testy penetracyjne infrastruktury

Przeprowadzimy symulację ataku nie tylko na pojedynczą aplikację - ale również całą infrastrukturę. Testy penetracyjne sieci pozwalają na wykrycie najsłabszych punktów, które z pewnością posłużą cyberprzestępcom do dalszych ataków.

Prezentacja zidentyfikowanych błędów

Przystępna prezentacja znalezionych podatności stanowi istotną formę testów bezpieczeństwa. Ostatnim etapem każdej z naszych usług jest dostarczenie raportu zawierającego techniczne detale, pomocne programistom w naprawie błędów wraz z dokładnym opisem zrozumiałym dla osób mniej-technicznych.

Zależy nam, aby nasze usługi prowadziły do wyciągnięcia wniosków, które realnie wpłyną na zwiększenie bezpieczeństwa testowanego produktu.

  • Prezentujemy potencjalne scenariusze ataków.
    Dokładny opis możliwości wykorzystania zidentyfikowanego błędu pozwala lepiej zrozumieć jego zagrożenie. Przedstawiamy problem z perspektywy atakującego, tak, aby lepiej zobrazować co można osiągnąć, wykorzystując zgłoszony błąd.
  • Pomagamy w oszacowaniu krytyczności podatności.
    Zdajemy sobie sprawę, że nie każda podatność znaleziona w produkcie wpływa na zdefiniowany proces zarządzania ryzykiem bezpieczeństwa. Wiele czynników odgrywa znaczącą role w kontekście szybkości wdrażania poprawek. Rzetelna ocena krytyczności każdych zgłoszonych błędów sugeruje, które z nich powinny zostać potraktowane priorytetowo. Nasze wieloletnie doświadczenie pozwoliło nam przygotować własne metryki - czytelne i zrozumiałe dla wielu grup docelowych, a także odpowiednie dla danego typu badanego produktu. Dostosowujemy również raporty do wewnętrznych metryk Klienta oraz popularnych standardów (m.in. CVSS).
  • Dokonujemy klasyfikacji błędów, opisując ich przyczyny i potencjalne skutki.
    Klasyfikujemy zidentyfikowane podatności, wyjaśniając, jakich kategorii oraz których obszarów dotyczą, a także w jaki sposób mogą zostać wykorzystane przez atakującego.
  • Przedstawiamy wnikliwy opis pozwalający zrozumieć zidentyfikowane zagrożenie.
    Nasze raporty z testów bezpieczeństwa skierowane są do różnych grup. Od osób decyzyjnych - które muszą zrozumieć ryzyko i zagrożenie wynikające ze zidentyfikowanej podatności; po developerów - wdrażających poprawki usuwające opisywane problemy. Prezentujemy zrozumiały, ilustracyjny opis zidentyfikowanej podatności oraz dokładne kroki (np. w przypadku aplikacji webowych, są to zapytania oraz odpowiedzi serwera) pozwalające odtworzyć błąd osobom bardziej technicznym.
  • Rekomendujemy rozwiązania pomagające usunąć bądź zniwelować szkodliwość znalezionych błędów.
    Doradzamy w jaki sposób usunąć zidentyfikowaną podatność, a także odnotowujemy, czy podczas procesu tworzenia produktu, wykorzystywane były dobre/bezpieczne praktyki.
  • Po zastosowaniu się do zaleceń z naszego raportu - przeprowadzimy bezpłatny retest.
    Weryfikujemy, czy zaproponowane w naszym raporcie rekomendacje zostały poprawnie wdrożone. W koszt naszych usług wliczony jest już retest, który pozwala ustalić, czy zgłoszone błędy zostały poprawnie usunięte.