Penetrační testování aplikací tlustého klienta.
Desktopové a instalované aplikace — testované na klientovi, v paměti i proti backendu.
Zabezpečujeme české technologické firmy, které uspěly ve světě.
Penetrační testování aplikací tlustého klienta
Nainstalovaná aplikace běží přímo na koncovém zařízení, které má uživatel plně pod kontrolou. To znamená, že může detailně sledovat její chování, číst obsah operační paměti, odposlouchávat a měnit síťový provoz nebo kompletně rozebrat jakákoli data, která si aplikace lokálně ukládá. K testování desktopových aplikací a tlustých klientů přistupujeme právě z této pozice: prověřujeme, jak aplikace chrání data na disku, jak nakládá s autentizací a aktualizačními mechanismy, jak implementuje kryptografii a jak komunikuje se serverem. Vycházíme z předpokladu, že útočník již má k dispozici binární soubor a neomezené množství času.
Co testujeme
- Lokální ochrana dat — analyzujeme, jakým způsobem aplikace ukládá a chrání citlivé informace na disku zařízení, které má útočník plně ve své moci.
- Práce s operační pamětí — prověřujeme výskyt citlivých dat a přihlašovacích údajů v paměti RAM za běhu aplikace, kde tato tajemství často zůstávají mnohem déle, než je nutné.
- Kryptografie — ověřujeme, zda jsou šifrovací algoritmy implementovány správně a na správných místech, nebo zda aplikace nespoléhá na zranitelná, vlastnoručně navržená řešení.
- Autentizace, autorizace a správa relací — testujeme identitní procesy včetně mechanismu stahování aktualizací, který pro útočníky často představuje ideální cestu k podvržení a spuštění škodlivého kódu.
- Komunikace s backendem a API — detailně prověřujeme veškeré síťové služby, se kterými klientská aplikace komunikuje, a to v rámci jednoho uceleného projektu.
Závěrečný report
Zpráva o čtyřech částech: shrnutí rozsahu, manažerské shrnutí s odborným posudkem stavu vašeho zabezpečení, kontrolní seznam nálezů seřazený podle závažnosti a podrobné nálezy — každý s popisem, dopadem, závažností dle CVSSv3 a konkrétním návrhem opravy. Každý nález prochází peer-review, aby jej váš tým mohl rychle reprodukovat a opravit.
Každý test vedou certifikovaní seniorní specialisté — na vašich systémech se neučí žádní junioři.
Výstupy z testů využijete pro NIS2, DORA, ISO 27001 i PCI-DSS.
Cena
Cena se odvíjí od aplikace a rozsahu backendu. Rozsah a cenu potvrdíme po krátkém hovoru.
Náš vhled.
Používáte ORM v 98 % databázových interakcí? Najdeme ta zbylá 2 % a hackneme Vás právě tam!
Často kladené dotazy, vždy zodpovězeny.
Jakou podobu má finální report?
Report obsahuje seznam nalezených zranitelností s hodnocením jejich závažnosti. Kromě toho se v něm nachází manažerské shrnutí, které nastiňuje, jak tyto chyby zabezpečení odpovídají obchodnímu riziku, a technické poznámky, které mohou vývojáři použít k jejich reprodukování a opravení.
Jaký je rozdíl mezi skenem zranitelností a penetračním testem?
Penetrační test je technika ověřování zabezpečení, která se v něm pokouší najít chyby a následně je zneužít. Je realizován se záměrem prokázat zabezpečení systému nebo se záměrem ho zlepšit. To často zahrnuje manuální práci navrhování a plánování vektorů útoků, které mohou obsahovat jednu nebo více nalezených zranitelností nebo známé informace. Sken zranitelností sice nachází známé zranitelnosti, ale nedokáže tyto zranitelnosti zneužít nebo je kombinovat pro další ověření zabezpečení systému.
Naše společnost je v procesu výběru dodavatele třetí strany. Může nám insighti pomoci vyhodnotit zabezpečení jednotlivých řešení?
Ano. V insighti jsme schopni přezkoumat a vyhodnotit zabezpečení jednotlivých řešení, které jsou navrhovány třetími stranami, samozřejmě s jejich svolením. Tento postup našim klientům umožňuje informovaně se rozhodnout a vybrat to správné řešení na základě uvedených výhod a nevýhod každého z nich.
Pojďme to probrat.
Napište nám, co potřebujete otestovat — domluvíme si nezávazný hovor a navrhneme rozsah testu.
Domluvit nezávaznou konzultaci ›