Etikus hacking szolgáltatások

Ethical hacking

Cégünk etikus hacking szolgáltatást biztosít üzleti ügyfeleknek és magánszemélyeknek egyaránt. Az általunk végzett ellenőrzések mélysége tetszés szerint megválasztható az egyszerű tesztektől kezdve a teljes kőrű behatolás vizsgálatokig. Vállalkozásunk számos, több mint 5 év tapasztalattal rendelkező kollégát foglalkoztat. Szolgáltatásaink kiterjednek bináris alkalmazások és web alkalmazások tesztjeire, hálózati biztonság vizsgálatokra, fenyegetettségek felderítésére (vulnerability scanning), valamint kód elemzéssel támogatott penetrációs tesztekre és statikus forrás kód elemzésre. A tesztek elvégzését távolról és on-site módon egyaránt vállaljuk.

Hálózati penetrációs tesztek

A betörés tesztjeinket egy felderítési fázissal kezdjük, amelynek során automatikus tesztek segítségével meghatározzuk a célponton futó szolgáltatásokat, azaz a célpont támadási felületét és megvizsgáljuk, hogy ezek a szolgáltatások tartalmaznak-e ismert sérülékenységeket. A felderítési fázisban felderített hibákat kézzel ellenőrizzük és a biztonsági kockázatot a rendszerrel szemben elvárt követelmények és a környezet figyelembe vételével határozzuk meg.

A tesztjeinket olyan módon hajtjuk végre, hogy azokkal ne akadályozzuk a célpont rendelkezésre állását és integritását. Ha olyan lehetséges sérülékenységet fedezünk fel, amelyet nem lehet biztonságos módon tesztelni, illetve kihasználni, az ügyfelünktől felhatalmazást kérünk a további vizsgálatok elvégzésére. Az ügyfelünk igényei alapján egy olyan idő intervallumot határozunk meg, amelyben a lehető legkevesebb kárt okozunk egy lehetséges hiba esetén.

A vizsgálatainkat általában egy támadó szemszögéből hajtjuk végre. Az ilyesfajta teszteket “fekete doboz” teszteknek is nevezik. Szakértőink ezt a típusú vizsgálatot preferálják, azonban “szürke doboz” és “fehér doboz” vizsgálatokat is végzünk, ahol részleges vagy teljes információ áll rendelkezésünkre a célpontról. Szürke doboz tesztekhez általában felhasználói vagy adminisztrátori fiókokra van szükségünk a cél alkalmazásban, amíg a fehér doboz tesztekhez teljes rendszer gazdai hozzáférést igénylünk és hozzáférést a forrás kódhoz amennyiben lehetséges.

Webes penetrációs tesztek

Web alkalmazások teszteléséhez az OWASP ajánlását követve, az OWASP Top 10-ben felsorolt sérülékenységeket vizsgáljuk:

Az OWASP keretrendszert csak irányelvként használjuk fel, azonban de vizsgálataink során általában mélyebbre megyünk és a webes sérülékenységeknek egy szélesebb spektrumát teszteljük.

Forrás kód analízis

A forrás kód birtokában statikus kód elemzést és forrás kóddal támogatott sérülékenység vizsgálatokat egyaránt vállalunk. A tesztjeink automatikus ellenőrzésekkel indulnak, melyeknek célja az elavult, problémás függvényeket használó vagy gyakran biztonsági hibákhoz (pl.: puffer túlcsordulás) vezető kód mintázatok felderítése.

A második lépésben meghatározzuk az alkalmazásnak biztonsági szempontból kritikusnak tekintett részeit, amit fenyegetettség modellezés segítségével hajtunk végre. Egy alkalmazás kritikus részeit általában azok a funkciók teszik ki, amelyek:

adat tárolókhoz férnek hozzá (pl.: adatbázisok és fájlrendszerek)
komponens vagy felhasználó szintű authentikációt hajtanak végre
közvetlen formában valamilyen felhasználói bemenetet dolgoznak fel
érzékeny adatokat kezelnek (pl.: személyes adatok)

A fenyegetettség modellezés után, hogy kiderítsük egy rosszindulatú bemenet milyen funkciókat hajthat végre adat áramlás vizsgálatot végzünk a kritikus kód részletek között.

Az elkészült jelentésben leírjuk az alkalmazás biztonsági és szoftver mérnöki szempontból problematikus részeit, majd listába szedve megadjuk a felderített biztonsági hibákat és ajánlást teszünk ezek hatékony javítására.

Felkeltettük érdeklődését? Lépjen kapcsolatba velünk!