Cel:
Audyt bezpieczeństwa aplikacji WWW i serwera, na którym jest uruchomiona strona, w celu znalezienia podatności, które np zagrażają poufności danych klientów, mają wpływ na biznesowy aspekt działalności.
Zakres:
- Testy ręczne obejmujące zakresem najpopularniejsze i najpoważniejsze typy zagrożeń (OWASP Top 10):
- SQL injection.
- XSS (Cross Site Scripting)
- Podatność CSRF (Cross Site Request Forgery)
- Broken Authentication and Session Management (badanie działania sesji, plików cookies i próby ominięcia logownia)
- Authorization Bypass (próby dostępu do zasobów bez uwierzytelnienia użytkownika).
- Code Execution (próby wykonania złośliwego kodu na serwerze).
- Information Leakage (próby detekcji wycieku istotnych informacji z serwera).
- Insecure Communications (dostęp do chronionych danych – np. konta administracyjnego bez szyfrowania).
- Source Disclosure (próby ujawnienia kodów źródłowych wykorzystanego oprogramowania).
- Path Traversal.
- Open Redirection.
- Denial of Service (DoS).
- File Inclusion.
- Weryfikacja konfiguracji web serwera:
- Bezpieczeństwo konfiguracji szyfrowania SSL
- Analiza podatności występujących w zainstalowanym oprogramowaniu