OWASP WSTG – Test af kritiske Webapplikationer

Hvorfor få udført en webapplikationstest?

Web Pentest er en komplet sikkerhedstest af en hjemmeside eller webapplikation, der hjælper med at synliggøre sårbarheder og konfigurationsfejl, der kan udnyttes af en hacker.

En hjemmeside er firmaets ansigt udadtil og er ofte et oplagt mål for hackere, der vil skade firmaet. For mange firmaer, spiller hjemmesider og portaler en kritisk rolle for det produkt eller den serviceydelse, de tilbyder.

Der kan være flere årsager til at hjemmesider hackes, men typisk deles det op i tre kategorier:

1) En hacker vil genere virksomheden ved at ændre i side-indhold, eller ved at gøre siden utilgængelige for andre brugere.
2) En hacker vil angribe brugerne af siden og inficere deres maskiner eller få dem til at afgive følsomme oplysninger.
3) En hacker benytter hjemmesiden som en indgang til resten af jeres netværk.

Web Pentest er en komplet sikkerhedstest

Vi foretager både scans og manuel penetrationstest af webapplikationen, der vil synliggøre potentielle sårbarheder og eventuelle konfigurationsfejl. Målet er at konstatere, om denne kritiske løsning er tilstrækkeligt stærk til at modstå gængse trusler ud fra det aktuelle trusselsbillede.

Sikkerhedstestene bliver foretaget i henhold til best practices inden for webtest og dækker som minimum OWASP Top 10 (2021 version). Selve testen tager udgangspunkt i OWASP WSTG testplanen. Læs mere på OWASP.org

På baggrund af konsulenternes uddannelse og kendskab til det aktuelle trusselbillede, udvælges de relevante cases. Således sikres det, at testen afdækker de mest gængse og relevante trusler imod applikationen. Konsulenternes valg og fravalg dokumenteres.

Sikkerhedskonsulenten benytter samme værktøjer og metoder som en hacker typisk vil gør.

I samarbejde med jer udvælges de relevante undersider, som I ønsker testet. Vi benytter automatiske værktøjer til at danne et overblik over hjemmesidens opbygning.

Herefter benytter vi mere målrettede værktøjer og manuelle tests til at finde ud af, hvordan lige netop jeres side kan angrebes. Her kommer konsulenternes store erfaring i spil.

De manuelle testscenarier bliver udarbejdet på baggrund af vores erfaringer, samt de funktioner, der er tilgængelige på jeres hjemmeside.

Få dybere indsigt med en White-box Pentest

Ved en white-box pentest får vi yderligere kontekst på applikationen ved at have adgang til kildekoden. Det giver mulighed for at foretage manuel taint analyser, hvor vi søger efter farlig funktionalitet i koden. Vi følger kode-flowet for at se, om vi kan sende farligt input til funktionen.

Vi skanner også koden med SAST-værktøjer (static application security testing), der spotter potentielle sårbarheder direkte i koden.

Hvor ofte udføres en webapplikationstest?

Frekvensen af webapplikationstests kommer an på jeres individuelle behov. Ideelt set bør siden testes, hver gang der sker en større ændring på siden, eller med et fast interval, hvis siden har et mere statisk indhold. Det skyldes, at der hele tiden opdages nye sårbarheder, som I bør forholde jer til.

Rapportering

Arbejdet munder ud i udarbejdelsen af en udførlig rapport, der dokumentere valg af metode og test cases og levere prioritering af sårbarheder og forslag til mitigering.

Rapporten vil være to-delt, et ledelsresumé der i ikke tekniske termer kort beskriver jeres aktuelle it-sikkerhedsniveau og dernæst et teknisk afsnit hvor de fundne sårbarheder beskrives og vigtigst af alt, hvordan I får dem udbedret og dermed vanskeliggør et potentielt angreb.

Vi vil gerne holde et afrapporteringsmøde med jer.

Tag fat i os nedenfor for at få en dummy-rapport tilsendt.

Se vores andre services