Testy bezpieczeństwa
Niezależnie od tego, czy martwisz się bezpieczeństwem pojedynczej aplikacji, czy różnorodnego systemu, nasi eksperci ds. bezpieczeństwa współpracują z Tobą w celu opracowania spersonalizowanego planu spełniającego potrzeby Twojej aplikacji.- ocena aplikacji
- poprawa zabezpieczeń
- ustawiczne programy bezpieczeństwa DevOps i szkolenia
- rozwiązania dopasowane do Twoich celów i budżetu.
K Testy bezpieczeństwa
Katalog usług
01
Ocena ryzyka
- Przegląd architektury aplikacji
- Przegląd kodu programu
- Audyt bazy danych
- Testowanie aplikacji mobilnych
- Ocena infrastruktury Wifi i wyszukiwanie fałszywych punktów dostępu
- Audyt reguł bezpieczeństwa zapór sieciowych
- Zautomatyzowane skany infrastruktury i modułów aplikacji.
- Audyt kontroli procesów SCADA
- Ocena poziomu zabezpieczeń rozwiązań IoT, maszyn autonomicznych
- Weryfikacja dostawców zewnętrznych
- Rozwiązania chmury (Cloud Services)
02
Weryfikacja zgodności ze standardami
- ISO/IEC 27000- 27999 (Information Security Standards)
- PCI DSS (Payment Card Industry Data Security Standard)
- GDPR: General Data Protection Regulation (RODO)
- audyt procesu SDLC (Secure software Manufacturing)
- raporty SOC
03
Ochrona majątku I prywatności
- Inżynieria społeczna
- Audyt kontroli dostępu
- Kontrola CCTV
- Wykrywanie I analiza ataków typu Trojan, Malware
- Budowanie świadomości użytkownika
04
Konsultacje
- Ocena procedur bezpieczeństwa
- Mechanizmy zgłaszania incydentów
- Tworzenie procedur przywracania i kopii bezpieczeństwa
P Testy bezpieczeństwa Przykładowy opis
Przykładowy opis
etapów i obszarów poddawanych testom
Ocena ryzyka - Risk assessment
Security auditing - audyt bezpieczeństwa
Test penetracyjny - Penetration testing
Ocena postawy / polityki ? Posture assessment
Security scanning
Szukanie wrażliwych punktów - Vulnerability scanning
P WEB Przykładowe obszary będące przedmiotem
Przykładowe obszary będące przedmiotem
testów aplikacji WEB
01
Zbieranie informacji
- Techniki socjotechniczne
- Wykrywanie serwera
- Identyfikacja punktów wejścia
- Mapowanie architektury aplikacji
02
Zarządzanie konfiguracją i instalacją
- Konfiguracja infrastruktury sieciowej
- Wyszukiwanie dostępów administracyjnych
- Zabezpieczenie wrażliwych plików
- Metody HTTP
- HTTP Strict Transport Security
- RIA cross domain policy
03
Zarządzanie tożsamością
- Definiowanie ról
- Proces rejestracji
- Polityka zarządzania kontami
04
Proces uwierzytelniania
- Test kanału przesyłu danych
- Mechanizm zarządzania hasłami
- Omijanie uwierzytelniania
- Ryzyko stwarzane przez pamięć podręczną
- Alternatywne kanały uwierzytelniania
05
Proces Autoryzacji
- Directory/path traversal
- Omijanie mechanizmu autoryzacji
- Eskalacja uprawnień
06
Zarządzanie sesjami użytkowników
- Omijanie mechanizmu sesji
- Atrybuty cookie
- Ekspozycja niejawnych danych
- Funkcjonalność logout
- Wygaszanie sesji
07
Techniki walidacji danych wejściowych
- Manipulacja komend HTTP
- Zmiana parametrów
- Ataki typu ?Injection?
08
Obsługa błędów
09
Słabe mechanizmy kryptograficzne
10
Podatności kodu po stronie klienta
Modele współpracy
Zespoły u klienta
Usługa dedykowana dla Klientów posiadających zespoły projektowe. Dajemy możliwość szybkiego wsparcia brakującymi kompetencjami.
Zespoły w siedzibie B2Bnetwork
Możemy wykorzystać nasz sprzęt i oprogramowanie. Wdrażamy system, dzięki któremu masz możliwość stałego monitorowania.
Modele rozliczania
Fixed - Price
Określony zakres projektu, wymagania, czas realizacji oraz cenę.
Time&Material
Budżet projektu jest zależny od pracy koniecznej do wykonania.
Time&Material z limitem
Określamy zakres prac z limitem na budżet i czas realizacji.
