[ Nasza oferta ]

Web aplikacje oraz web serwisy są w dzisiejszych czasach wczechobecne - szacuje się, iż ponad 90% ruchu sieciowego w Internecie odbywa się poprzez protokół HTTP(S). Podobnie sytuacja wygląda w wewnętrznych sieciach bardzo wielu firm i organizacji. Tego typu aplikacje/serwisy są nieodzowną częścią każdej nowoczesnej firmy wspierając i usprawniając przetwarzanie przepastnych i nierzadko wrażliwych zasobów informacyjnych danej organizacji. Niestety, na skutek złożoności i niedoskonałości oprogramowania pojawić się mogą ryzyka związane z nienależytym przechowywaniem i przetwarzaniem informacji w postaci cyfrowej.

W celu zaadresowania ryzyk związanych z lukami bezpieczeństwa w Twoim oprogramowaniu, oferujemy kompleksową usługę przeprowadzenia testów penetracyjnych web aplikacji / web API (REST, SOAP, GraphQL). Podczas testów zbadamy odporność Twojej aplikacji na różnorakie próby przełamania zabezpieczeń czy uzyskania nieautoryzowanego dostępu do krytycznych zasobów informacyjnych. Zweryfikujemy stopień ochrony przetwarzanych danych oraz zaproponujemy skuteczne środki zaradcze dla zidentyfikowanych podatności.

[ Nasze podejście ]

Naszym nadrzędnym celem podczas przeprowadzania testów i badań oprogramowania jest zdecydowane podniesienie poziomu zabezpieczeń weryfikowanej aplikacji czy API. Realizujemy testy penetracyjne we wszystkich "odcieniach", tj.: black-box, grey-box i white-box. Preferując (jeśli to tylko możliwe) te dwa ostatnie - uważamy testy z niezerową wiedzą początkową za bardziej efektywne i zapewniające klientowi lepszy zwrot z poniesionej inwestycji.

Anagażując Z-Labs do swojego projektu będziesz pracował z doświadczonymi i utalentowanymi ekspertami w dziedzinie cyberbezpieczeństwa. W zależności od wielkości i złożonści, nad Twoim projektem pracować będzie od 1 do 3 specjalistów. Każdy z nich:

• Posiada wieloletnią praktykę w realizacji testów penetracyjnych i badaniu/przełamywaniu zabezpieczeń oprogramowania;

• Posiada przynajmniej jeden z szeroko rozpoznawalnych branżowych certyfikatów: CISSP, OSCP, OSWE, GXPN;

• W przeszłości pracował jako programista przez przynajmniej 3 lata w pełnym wymiarze godzinowym - to dla nas absolutnie kluczowe: aby być naprawdę skutecznym w przełamywaniu zabezpieczeń najpierw trzeba poznać zasady ich projektowania i implementacji.

[ Co dostarczymy ]

Jako rezultat przeprowadzonych testów bezpieczeństwa otrzymasz:

• Plan "ataku" - Dokument zawierający wszelkie kluczowe informacje na temat planowanego testu / symulacji ataku, tj.: zakres testów (ang. scope specification); ustalone zasady przprowadzania testu (ang. rules of engagement); scenariusze ataków; i inne w zależności od indywidualnych ustaleń z klientem.

  
  
  
  

• Raport końcowy - Raport końcowy zawierający szczegółowy opis techniczny zidentyfikowanych podatności. Każda opisana podatność zawiera między innymi: opis negatywnych konsekwencji jaki ma ona na badany system; ryzka jakie się z nią wiążą; kroki (w postaci programu lub algorytmu) prezentujące przykład wykorzystania danej słabości (ang. PoC exploit); wskazówki i zalecenia dotyczące usuniecia/"załatania" podatności.

  
  
  
  

• Wsparcie i weryfikacja poprawek - wsparcie i konsultacja podczas naprawy zidentyfikowanych podatności. Weryfikacja jakości poprawek (ang. re-testing).