Audyt bezpieczeństwa portalu www
Posiadanie korporacyjnego portalu www wiąże się z pewnymi zagrożeniami:- Umieszczenie w portalu nieautoryzowanych treści lub przejęcie kontroli nad portalem negatywnie wpływa na reputację firmy.
- Jeśli portal umożliwia logowanie się użytkowników - pojawiają się takie zagrożenia jak: możliwość kradzieży danych osobowych czy przejmowanie dostępu do kont użytkowników.
- Jeśli wykorzystanie portalu wiąże się bezpośrednio z prowadzeniem firmy (np. obsługa zamówień przez Internet, sprzedaż produktów) - zagrożona jest działalność biznesowa organizacji.
- Portal internetowy powinien działać 24h na dobę, 7 dni w tygodniu, przez cały rok. Zatrzymanie działania portalu - nawet na kilka godzin - może wpłynąć negatywnie na reputację firmy.
- Niemal zawsze dostęp do portalu www posiadają wszyscy użytkownicy Internetu - zwiększa to istotnie prawdopodobieństwo ataku.
Ogólny zakres prac
- Audyt na poziomie aplikacji www (detekcja błędów klasy: SQL injection, XSS, Authorization Bypass, DoS, itd.)
- Zdalne, podstawowe badanie infrastruktury (np. serwera www, serwera aplikacyjnego).
- Zdalne, podstawowe badanie na poziomie sieci (badanie szczelności systemu firewall, sprawdzanie dostępności i typu usług sieciowych).
- Próby detekcji wykorzystanego oprogramowania.
- Badanie obecności i konfiguracji protokołu szyfrującego HTTPS.
- Inne, wybrane testy mogące pomóc w ochronie danych użytkowników (m.in. danych osobowych).
Ponadto, możliwe jest przeprowadzenie audytu w wersji podstawowej (podzbiór wskazanych wyżej prac), a w zależności od efektu - podjęcie decyzji o ewentualnym przeprowadzeniu pełnej wersji audytu.
Więcej informacji
- Przykładowy audyt bezpieczeństwa
- Testy penetracyjne aplikacji www
- O testach bezpieczeństwa
