A fejlesztők leszállították, kész a webalkalmazás. Kiválóan működik, a design is csodálatos – de ki dönti el, hogy kellően biztonságos-e? Kihez forduljunk, ha szeretnénk kapni egy független véleményt?
A fejlesztő cégeknél nem állt meg az élet, hiszen otthonról végezhető munkával a fejlesztési folyamatok többsége távolról is elvégezhető. Webalkalmazások tehát továbbra is készülnek, így azok biztonsági átvétele/ellenőrzése is folyamatos kell hogy legyen.
Biztonsági szempontból a webalkalmazásokban kiemelkedően fontos a beszúrásos támadások elleni védelem. Az OWASP egyik zászlóshajója, az OWASP Top Ten projekt is első számú problémaként jelöli meg ezt a fajta sérülékenységet. A felhasználóktól érkező adatok megfelelő validálásával és szűrésével ez a kitettség teljesen megszüntethető. A fejlesztők azonban gyakran nincsenek tisztában azzal, hogy mit is jelent pontosan a megfelelő validálás és szűrés, így ez a hiba gyakran kerül elő a webalkalmazás vizsgálatokban.
Az SQL kifejezések injektálási lehetősége kinyitja a kaput az adatlopások előtt, így nagyon sok esetben a webalkalmazás fejlesztőinek a hibájából – akár évekkel később – a cég súlyos károkat szenvedhet. A GDPR miatt ez akár bírság formájában is megjelenhet, de a presztízsveszteség nehezen fordítható át pénzre, hiszen ki szeretne az online újságok főcímében negatív fényben tündökölni?!
Az injekciós hibák másik gyakori változata, amikor JavaScript utasítások injektálásra van mód az adatok bevitele során. Egy ilyen támadás nem közvetlenül az adatbázisban tárolt adatok megszerzésére, hanem tipikusan az alkalmazás felhasználói ellen irányul. Ez a sérülékenység a Cross-Site Scripting (röviden: XSS) néven ismert. Az XSS támadás célja többnyire a felhasználó munkamenetének a megszerzése. A legtöbb webalkalmazás a munkamenet azonosítókat cookie-ban tárolja. A megszerzett munkamenet azonosító segítségével a támadók beléphetnek a rendszerbe, és egy jól célzott támadással akár adminisztrátori jogokat is szerezhetnek. Az inputok ellenőrzése mellett a helyes munkamenet-kezelés is nagyon fontos!
Cégünk, a Whiteshield Kft. 2011 óta végez webalkalmazás vizsgálatokat. Szakértőink az OWASP irányelveit követve a sérülékenységi faktorok teljes feltárására törekszenek a manuális webalkalmazás vizsgálatok során. Önnek is segítségre van szüksége az alkalmazás átvételében? Hívjon minket! Segítünk!
