Webbapplikationer i alla dess former är ofta kritiska system för de flesta företag, oavsett om det rör sig om företagets egna exponerade webbsidor, SaaS-lösningar, produkter eller interna system. Webbapplikationer är ofta komplexa lösningar, med mycket funktionalitet och utger därför en stor (ofta internet-exponerad) attackyta. Av dessa anledningar är det viktigt att regelbundet kontrollera säkerheten där ett steg i detta kan vara att göra ett pentest av applikationen.
Vad innebär ett pentest av en webbapplikation?
Ett pentest av en webbapplikation innebär att en eller flera erfarna säkerhetsexperter granskar applikationen med samma verktyg och metoder som riktiga angripare använder för att hitta sårbarheter. Dessa sårbarheter kan sedan åtgärdas med hjälp av de pentestarnas rekommendationer, för att stärka skyddet av applikationen.
Säkerhetsgranskningen utförs inte bara mot brister som nämns i branschstandarder som OWASP Top 10 eller OWASP Testing Guide, utan går även in på logiska brister och brister som är specifika för företagets egen sektor. Här skräddarsys testet efter företagets egna identifierade risker för att bäst försöka minimera dessa.
Varför och när skall man göra en säkerhetsgranskning?
Det finns ett flertal anledningar till att utföra säkerhetsgranskningar av ett företags webbapplikationer, varav några nämns nedan:
- Applikationen är verksamhetskritisk och bör därför skyddas
- Vid inköp av tredjeparsprodukter, för att verifiera att inga brister existerar
- Kunder efterfrågar ofta verifikation på att säkerhetsgranskningar har genomförst
- Regulatoriska krav
För de flesta applikationer, som de som är exponerade mot internet eller är kritiska för företagets verksamhet rekommenderas att minst göra årliga säkerhetsgranskningar, eller att utföra dessa då större förändringar gjorts i applikationen
Resultat
Vanligtvis tar ett test ca 1-2 veckor att utföra och resulterar i en rapport samt ett avrapporteringsmöte, där alla detaljer kring de påträffade bristerna gås igenom samt hur dessa kan åtgärdas.
Shelltrails säkerhetsexperter har erfarenhet från hundratals säkerhetsgranskningar och har alla branschledande certifieringar inom webbapplikationssäkerhet.