Penetratietesten

Kwetsbaarheden in webapplicaties vormen nog steeds de grootste bron van aanvallen op webapplicaties. Volgens diverse studies zijn fouten in websites goed voor de meerderheid van alle kwetsbaarheden. Verhalen over gecompromitteerde gevoelige gegevens vermelden vaak boosdoeners zoals. Kwetsbaarheden waaronder Cross-Site Scripting, SQL Injection en buffer overflow vallen vaak buiten de traditionele expertise van Netwerk Security managers. De relatieve onwetendheid van deze kwetsbaarheden in web-toepassingen maakt deze zeer nuttig voor aanvallen. Deze aanvallen vermijden de traditionele defensie van het ondernemingsnetwerk, tenzij u nieuwe voorzorgsmaatregelen neemt.

 

Aanvallen op kwetsbaarheden in webapplicaties begonnen al meteen in het begin van het World Wide Web, in de midden-1990’s. Aanvallen zijn meestal gebaseerd op fout injectie, die kwetsbaarheden in de syntaxis van een webapplicatie en semantiek exploiteert. Met behulp van een standaard browser en basiskennis van Http en HTML probeert een aanvaller gegevens te stelen of aan te passen.

Veel van deze kwetsbaarheden ontdekken wij met geautomatiseerde Scanners. Logische kwetsbaarheden zijn echter zeer moeilijk te testen met een Scanning Tool, deze vereisen een handmatige analyse van de Web Application broncode. Beveiligingsproblemen met web-toepassingen kunnen voortkomen uit mis-configuraties, slechte architectuur of slechte programmeer praktijken binnen zowel commerciële als aangepaste toepassingscode. Kwetsbaarheden kunnen in codebibliotheken en ontwerppatronen van populaire programmeertalen zoals Java, .net, PHP, Python, Perl, en robijn voorkomen. Deze kwetsbaarheden kunnen complex zijn en kunnen zich onder veel verschillende omstandigheden voordoen. Met behulp van een Web Application Firewall kan de effecten van sommige exploits tegen houden, maar zal niet de onderliggende kwetsbaarheden oplossen.

Met een combinatie van onze scanners en een grondige handmatige controle doorzoeken wij uw web-applicaties en netwerken veilig en nauwkeurig op mogelijke veiligheidsrisico’s.