Report z penetračních testů
Forma: GrayBox - test webového prostředí
Cíl a plán testů
Cílem testů byla webová aplikace informato.eu, následně s využitím technických a dalších znalostí, prostředků a nástrojů zjistit, zda jsou testované systémy navrženy, nastaveny a provozovány tak, aby tím bylo účinně snižováno riziko možného ohrožení bezpečnosti IS a nemohlo dojít k úniku či zneužití citlivých informací v nich obsažených.
Testování proběhlo mezi dny 16.3.2022 a 23.3.2022.
Testování bylo rozděleno na několik částí:
V rámci penetračního testování byly webové aplikace prověřovány dle standardu OWASP, hlavně OWASP TOP 10, kam spadají nejčastěji zneužívané zranitelnosti jako:
Kromě OWASP TOP 10 byla webová aplikace testována i na jiné typy bezpečnostních rizik jako File Inclusion, CSRF, CRLF, SSCI, procházení adresářů, nezabezpečené headers, šifrovací protokoly, hashovací funkce, a jiné dle standardu OWASP WSTG (Web Security Testing Guide).
I když bylo nalezeno několik zranitelností, žádná zranitelnost není kritická a žádná tak nevede k přímé kompromitaci systému. Většina zranitelností je navíc klasifikována jako „LOW“.
Z celkového pohledu hodnotíme webovou aplikaci jako velice dobře zabezpečenou.
Vypracováno dne:
23.3.2022
Zpracoval:
Petr Váchal, CEH
Vyjádření poskytovatele služby k bezpečnosti INFORMATO:
K závěru penetračního testování od společnosti COM PLUS musí poskytovatel služby JPD Agency s.r.o. zdůraznit, že i to malé procento zranitelností s klasifikací „LOW“ bylo následně programově odstraněno.
Informato je Váš trezor, který slouží k uchování digitálního dědictví.