Penetrační test od COM PLUS


Complus logo

Report z penetračních testů

Forma: GrayBox - test webového prostředí

Cíl a plán testů

Cílem testů byla webová aplikace informato.eu, následně s využitím technických a dalších znalostí, prostředků a nástrojů zjistit, zda jsou testované systémy navrženy, nastaveny a provozovány tak, aby tím bylo účinně snižováno riziko možného ohrožení bezpečnosti IS a nemohlo dojít k úniku či zneužití citlivých informací v nich obsažených.

Testování proběhlo mezi dny 16.3.2022 a 23.3.2022.

Testování bylo rozděleno na několik částí:

  1. Test webové aplikace bez přístupu
  2. Test webové aplikace s přístupem CUSTOMER
  3. Test webové aplikace s přístupem SUERADMIN + CUSTOMER
  4. Test webové aplikace s přístupem ROOT + CUSTOMER

 V rámci penetračního testování byly webové aplikace prověřovány dle standardu OWASP, hlavně OWASP TOP 10, kam spadají nejčastěji zneužívané zranitelnosti jako:

  1. Injekce
  2. Prolomitelná autentizace
  3. Únik citlivých dat
  4. XML External Entities
  5. Prolomitelné řazení přístupu
  6. Špatná bezpečnostní konfigurace
  7. Cross-Site Scripting XSS
  8. Nezabezpečená deserializace
  9. Používání komponentů se známými zranitelnostmi
  10. Nedostatečné protokolování a monitorování

Kromě OWASP TOP 10 byla webová aplikace testována i na jiné typy bezpečnostních rizik jako File Inclusion, CSRF, CRLF, SSCI, procházení adresářů, nezabezpečené headers, šifrovací protokoly, hashovací funkce, a jiné dle standardu OWASP WSTG (Web Security Testing Guide).

Complus_test

I když bylo nalezeno několik zranitelností, žádná zranitelnost není kritická a žádná tak nevede k přímé kompromitaci systému. Většina zranitelností je navíc klasifikována jako „LOW“.

Z celkového pohledu hodnotíme webovou aplikaci jako velice dobře zabezpečenou.

Vypracováno dne:
23.3.2022
Zpracoval:
Petr Váchal, CEH


Vyjádření poskytovatele služby k bezpečnosti INFORMATO:

K závěru penetračního testování od společnosti COM PLUS musí poskytovatel služby JPD Agency s.r.o. zdůraznit, že i to malé procento zranitelností s klasifikací „LOW“ bylo následně programově odstraněno.

Informato je Váš trezor, který slouží k uchování digitálního dědictví.