Testy bezpieczeństwa (testy penetracyjne) aplikacji webowych
Cel:
Audyt bezpieczeństwa aplikacji WWW i serwera, na którym jest uruchomiona strona, w celu znalezienia podatności, które np zagrażają poufności danych klientów, mają wpływ na biznesowy aspekt działalności.
Zakres:
Testy ręczne obejmujące zakresem najpopularniejsze i najpoważniejsze typy zagrożeń (OWASP Top 10):
SQL injection.
XSS (Cross Site Scripting)
Podatność CSRF (Cross Site Request Forgery)
Broken Authentication and Session Management (badanie działania sesji, plików cookies i próby ominięcia logownia)
Authorization Bypass (próby dostępu do zasobów bez uwierzytelnienia użytkownika).
Code Execution (próby wykonania złośliwego kodu na serwerze).
Information Leakage (próby detekcji wycieku istotnych informacji z serwera).
Insecure Communications (dostęp do chronionych danych – np. konta administracyjnego bez szyfrowania).