Sec24 – Penetrationstesta hemsidor och webbapplikationer

Ofta är det bara större hemsidor och företag som lägger ner tid på att penetrationstesta sina webbapplikationer och hemsidor, detta då det ofta är väldigt dyrt och tidskrävande. Tyvärr har upp till 70% av alla webbplatser sårbarheter som kan utnyttjas av hackare för att komma över känslig företagsdata såsom användarregister och kreditkortsinformation. Oavsett om det är en stor eller liten hemsida/webbapplikation så är det förödande om företagsdata sprids till fel personer. Många vet inte om att deras hemsida/webbapplikation har säkerhetsbrister och de som misstänker att det kan finnas tycker det är för dyrt att utföra ett säkerhetstest.

Som ett komplement till dyra penetrationstester erbjuder vi ett kostnadseffektivt säkerhetstest från 4950:- i fastpris för mindre applikationer. Detta är inte att förväxla med ett komplett penetrationstest utan riktar sig framförallt till mindre aktörer som vill skydda sig mot vanliga säkerhetsbrister som upptäcks vid sårbarhetsscanning.

Er hemsida eller webbapplikation penetrationstestas mot kända säkerhetshål med hjälp av samma testmetoder som bland annat Nasa, US Army, The Pentagon, Nokia, Sony, Deutsche Bank, PriceWaterhouseCoopers och London Stock Exchange använder för att penetrationstesta hemsidor och webbapplikationer.

För att läsa mer om de olika säkerhetsbristerna som testas kan du navigera till Tjänster -> Säkerhetsbrister eller klicka här. Ni hittar även säkerhetsbristerna i undermenyn till vänster

Vi är intresserade av ett penetrationstest, hur ser processen ut? 

Innan vi utför något säkerhetstest erbjuds alltid ett sekretessavtal om ni som kunder är intresserad av det. Vi lämnar självklart garantier att era uppgifter inte sprids oavsett sekretessavtal eller ej men vi erbjuder alltid ett kostnadsfritt sekretessavtal.

Efter det kommer vi överens om vad som ska testas, en tid när säkerhetstestet ska ske och vi byter även kontaktuppgifter med er support. Har ni en stabil server/servrar kommer ni inte märka säkerhetstestet annat än i era loggar, om servern är underdimensionerad kan latensen(svarstiden) öka något. Om hemsidan eller webbapplikationen ligger på ett webbhotell kontaktar vi även dem för att informera att ett säkerhetstest kommer att ske. Er hemsida testas sedan i princip mot alla kända säkerhetshål som berör webbapplikationer och hemsidor. Testet varar vanligtvis runt sex timmar men kan vara längre om det är en stor hemsida. När testerna är klara kontrolleras säkerhetsbristerna manuellt och eventuella säkerhetsbrister sammanställs i två dokument som sedan skickas lösenordskyddat på mailen eller med traditionell brevpost.

Dokumenten är dels en teknisk rapport men även en “executive summary” som belyser säkerhetsbristerna som identifierats och vad de kan leda till utifrån ett icketekniskt perspektiv. Den tekniska rapporten är uppdelad efter hur allvarliga hoten är som identifieras. Kategorierna är hög säkerhetsrisk, medelstor säkerhetsrisk, bör kollas upp och informativt. Det går att läsa mer om säkerhetsbristerna under  Tjänster -> Säkerhetsbrister eller klicka här. Rapporten kan ni sedan skicka vidare till en extern webbutvecklare eller om kompetens finns ordna själva. Behöver ni hjälp med att ordna säkerhetsbristerna finns vi självklart där för att hjälpa er. Läs mer under “Åtgärda säkerhetsbrister“.

Jag har hört av andra att automatiserade tester inte är lika bra som manuella?

Att ett automatiserat test inte klarar att specialskriva kod för att ta över en specifik server råder det ingen tvekan om. Däremot så utgår penetrationstestning från relativt likvärdiga tillvägagångssätt varje gång. Det viktigaste är att ett automatiserat säkerhetstest är rätt konfigurerat och att informationen som fås fram kan tolkas rätt. Nära stora specifika system ska testas krävs det ofta säkerhetsexperter som använder sig av manuell testning men när det kommer till webbapplikationer och hemsidor går det att automatisera det mesta. Annars kommer penetrationstestaren i en klar majoritet av alla fall manuellt skriva in samma kod med låt oss säga en annorlunda URL istället för att göra det automatiskt. Det gör ett penetrationstest onödigt dyrt när det går att få ett likvärdigt resultat mycket billigare.