Služby
Služby

Aplikační testy

Většina organizací využívající informační technologie a systémy dnes bez větších problémů chrání svou infrastrukturu za pomoci technologií, jako jsou např. firewally a IDS. Tyto pojmy v současnosti nejsou cizí ani laické veřejnosti a naprostá většina přístupových bodů do Internetu je dobře zabezpečena.

 

Zcela odlišná situace je v oblasti aplikační bezpečnosti, tedy v implementaci bezpečnostních prvků a opatření, zejména do webových aplikací. Důvody pro současný negativní stav v oblasti aplikační bezpečnosti jsou dány především nízkým povědomím o možných chybách. Na straně objednavatele (zadavatele) tak IT personál většinou není schopen předložit přesné požadavky na vývoj aplikace a její bezpečnost. Obdobně na straně vývojářů (dodavatelů) chybí zájem na prosazení konkrétních zásad bezpečnosti, ať už ve formě vnitřních standardů, nebo definovaných smluvních ustanovení.

 

Celkově se bezpečnost aplikační vrstvy řeší intuitivně, eventuelně vůbec. Reálným dopadem jsou poměrně vážné bezpečnostní chyby v 9 z 10 v současnosti provozovaných aplikací.

 test

Nejčastější důvody selhání nebo podcenění aplikační bezpečnosti:

  • Aplikace musí být ze svého principu přístupná a není tedy chráněná firewallem.
  • Není chápán rozdíl mezi aplikačními a paketovými firewally.
  • Šifrovací technologie, jako např. SSL, jsou nepřesně chápány. Nechrání aplikaci, pouze přenášená data.
  • Vlastníci aplikace neumí bezpečnost zkontrolovat a i její definici nechávají často na dodavatelích.
  • Bezpečnost se neřeší již ve fázi specifikace aplikace.
  • Vývojáři a dodavatelé se soustřeďují převážné na funkcionalitu, termíny a vzhled. Bezpečnost není chápána jako vlastnost základní, ale rozšiřující, tedy dražší.

 

Provedení aplikačních testů neznamená pouze předcházení možným následkům a ztrátám v oblastech nákladů, produktivity, dobrého jména či právních problémů. Za klíčový přínos lze považovat také ověření kvality dodavatele s možností přenesení některých záruk za oblast bezpečnosti.

 

Provádění bezpečnostních testů aplikace spočívá v identifikaci a analýze existujících zranitelností. Vyhledávány jsou jak běžné chyby typu XSS, SQL injection atd., tak složitější chyby v oblasti aplikační logiky a podobně. Jsou používány různé formy testování, od revize zdrojových kódů, přes testování „black box“ nebo „white box“, tedy „s“ a „bez“ znalostí zdrojových kódů a interního chování aplikace.

Hlavní přínosy aplikačních testů:

  • Adresace zranitelností na aplikační vrstvě z pohledu autorizovaných i neautorizovaných uživatelů.
  • Identifikace útoků a zranitelností v rámci HTML/HTTP, na vstupech a výstupech aplikace, session management a další.
  • Objevení případných chyb v procesech vnitřního vývoje nebo akvizice nových aplikací.
  • Návrh a řízení plánu na implementaci nápravných opatření, včetně tzv. „workaround“ řešení, jako je implementace webového aplikačního firewallu.
  • Verifikace, že vaše kritické webové aplikace jsou navrženy a kódovány v souladu s nejlepší vžitou praxí a standardy.

 

Nejefektivnější prosazování bezpečnosti v aplikacích je však již v definiční fázi. Lze tak výrazně snížit náklady na testování a dodatečné doplňování bezpečnosti.

 

Provádíme kompletní škálu testů na všech úrovních aplikací - od jednoduchých webových prezentací až po internetové bankovnictví či provázané systémy a registry veřejné správy.

 

Odborníci BDO Vám pomohou prověřit bezpečnost Vašich aplikací s využitím svých mnoholetých zkušeností v oboru.

Novinky

redStrip