web aplikacijeWeb aplikacije su danas temelj modernog poslovanja. Ne samo da sadrže informacije o organizaciji, već se sve više koriste u poslovnim procesima (npr. e-plaćanje, popis poslova, računovodstvo i sl.). Upravo stoga je sigurnost web aplikacija od iznimne važnosti za sigurnost cjelokupnog informacijskog sustava organizacije.

 

Kako bi se zaštitio informacijski sustav, provjeru ranjivosti web aplikacija nužno je provoditi:

  • prilikom kreiranja nove aplikacije,
  • nakon svake izmjene u aplikaciji,
  • nakon promjene nadležnih osoba (informatičara, specijalista za IT sigurnost ,..) te
  • periodički (najmanje jednom godišnje).

Provjerom se ispituje ranjivost sustava na sljedeće napade:

  • SQL injection (podmetanje SQL upita),
  • Cross site scripting (podmetanje programskog koda),
  • CRLF injection (podmetanje specijalnih znakova),
  • Directory Traversal (neovlašteni pristup direktorijima na poslužitelju),
  • Authentication Hacking (krađa autentikacijskih podataka),
  • i druge

Više o napadačkim tehnikama možete pronaći ovdje.

Nakon provjere ranjivosti klijent treba popraviti uočene nedostatke. Nakon ispravljanja svih nedostataka, provjeru je potrebno ponoviti (kako bi se potvrdilo da je sve ispravljeno). Postupke provjere i popravaka treba ponavljati sve dok:

  • nema više ni jedne ranjivosti ili
  • klijent zaključi da neke ranjivosti ne može ispraviti.

Ako klijent ne može ispraviti neku ranjivost, potrebno je pokušati iskoristiti ranjivost. Ako se ranjivost može iskoristiti, potrebno je:

  • ugraditi dodatne elemente zaštite (ako je to moguće) ili
  • promijeniti poslovne procese kako bi se rizik iskorištavanja propusta sveo na zadovoljavajuću razinu.

Zbog velikog broja komponenti i njihovih mogućih interakcija, provjera ranjivosti web aplikacija se provodi„skeniranjem“ sustava. Za to se koriste specijalizirani alati, a izvještaj koji daju ti alati ima smisla tek kad ga obrade iskusni stručnjaci. Stručnjaci će provjeriti svaki rezultat ispitivanja te mu dati odgovarajuće tumačenje. Pored toga, stručnjak treba dati pregled uočenih propusta zajedno s mjerama za njihovo uklanjanje.

  • Uslugu provjere ranjivosti web aplikacija koriste i informatičari čija je uloga održavanje sustava,
  • te interni revizori organizacije zaduženi za informacijsku sigurnost.

Vanjsku uslugu provjere ranjivosti web aplikacija poželjno je koristiti zbog toga što:

  • se ovakvom provjerom dobiva nezavisna, stručna potvrda o stanju sigurnosti ispitivane web aplikacije, a
  • informatičari mogu na temelju dobivenih savjeta uvesti potrebne promjene u sustavu brzo i učinkovito. Naime, informatičari koji održavaju i razvijaju sustav ponekad nisu objektivni. Iz tog razloga je korisno zatražiti pomoć od drugih stručnjaka!

Cjenik za uslugu penetracijskog testiranja web aplikacija možete pogledati na stranici: Pentest kalkulator.

   
   

Članci  

   
© 2015 Nobium - Sva prava pridržana.