בדיקות חוסן אפליקטיביות

10

בדיקות חדירות אפליקטיביות מכסות את היבט היישומים בארגון, ומתבצעות על פי מתודולוגיית OWASP הבינלאומית המציבה 48 קטגוריות לבדיקות כגון SQL Injection, XSS, ואחרות. במהלך הבדיקות צוות של Penetration Testers מחפש את הפגיעויות הללו ביישומים הארגוניים. הבדיקות מתבצעות על כל סוגי היישומים, אתרים פנימיים וחיצוניים, Share Point, אפליקציות Server-Client שונות (מערכות ERP, CRM, מסדי נתונים וכדומה), אפליקציות סלולאריות ועוד.

מתודולוגיית OWASP מגדירה גם את “מרחב התקיפה”, ובדיקות החדירות האפליקטיביות מכילות את כל המרחב הזה:

  • מנגנון הזיהוי – ביצוע ניסיונות לעקיפת המנגנון, בדיקת שלמות, בדיקת עמידות בפני התחזות, בדיקת מדיניות ניהול משתמשים וסיסמאות ובדיקת מנגנון נעילת משתמשים.
  • ממשק משתמש – ביצוע נסיונות להחדרת קלט זדוני, ביצוע נסיונות לפגיעה בזמינות המערכת, בחינת תגובת המערכת למצבי קצה, בדיקת שמירת נתונים בצד הלקוח, בדיקת אופן הצגת השגיאות, בדיקת אבטחת הפלט ונסיונות לעקיפת לוגיקת המערכת.
  • ממשק מול בסיס הנתונים – בחינת השימוש בתווך מוצפן לתקשורת, בחינת אופן אחסון נתוני ההתחברות, בחינת מידור בין משתמשים, בדיקת מדיניות הרשאות גישה לנתונים ובדיקת אופן שמירת הנתונים והצפנתם בבסיס הנתונים.

.