- Detta ämne har 6 svar, 3 deltagare, och uppdaterades senast för 10 år, 11 månader sedan av
.
-
Inlägg
-
Hej,
Hoppas jag lagt tråden rätt och att detta inte räknas som reklam. I så fall får jag omformulera mig.
Tänkte starta med en kort introduktion. Har tidigare haft flera hemsidor/E-butiker och själv utvecklat en del funktioner till dessa. Jag har alltid varit IT-säkerhetsintresserad och en dag upptäckte jag hur någon hade utnyttjat ett säkerhetshål på en av mina E-butiker och genom det kunnat ladda upp filer till min server. Tur i oturen så hade jag bra koll och lyckades åtgärda felet innan något allvarligt hände. Efter jag hade gått igenom serverloggen så insåg jag hur enkelt hackararen hade tagit sig förbi mina säkerhetssystem. Säkerhetsbristen hackaren använde sig av fanns på cirka 12.000 andra e-butiker. Även om jag läst mycket teori om IT-säkerhet var det först när jag blivit utsatt för det själv som jag verkligen bestämde mig för gå på djupet inom området.
Enligt färsk statistik så har upp till 70% av alla hemsidor säkerhetsbrister i varierande omfattning som kan leda till stöld av känslig företagsdata, kreditkortsinformation eller kundlistor. En lyckad hackerattack skadar även ett företags rykte markant. Många vet inte om att deras hemsida/webbapplikation har säkerhetsbrister och de som misstänker att det kan finnas tycker det är för dyrt att utföra ett säkerhetstest (ett normalt penetrationstest brukar kosta från 40.000:- och uppåt).
Här såg jag en öppning och jag började arbeta fram olika testmetoder som utgick ifrån hur flera multinationella företag och myndigheter gör i dagsläget för att kvalitetssäkra sina hemsidor och webbapplikationer. Resultatet blev en relativt automatiserad och kostnadseffektiv process som testar hemsidan/webbapplikationen mot de flesta kända säkerhetshålen som finns idag.
Exempel på företag som går igenom samma tester är: NASA, US Department of Energy, US Coast Guard, US Army, US Air Force, The Pentagon, Nokia, Panasonic, Samsung, Siemens, Skype, Sony, American Express, Deutsche Bank, Barclays Bank, Deloitte, Credit Suisse, KPMG, PriceWaterhouseCoopers, ING och London Stock Exchange.
Jag hade tänkt ta 2500:- för det här testet i fastpris.
För att läsa mer om de olika säkerhetsbristerna som testas kan ni gå in på Sec24 -> Tjänster -> Säkerhetsbrister eller klicka här.
Vad ni tycker om affärsupplägget? Hade ni kunnat tänka er att betala för ett säkerhetstest? Vad tycker ni om hemsidan? Saknar ni något?
För er som är intresserade och vill lära er grunderna inom penetrationstestning så har jag även satt ihop korta guider som ni finner på länken nedan:
Frågor jag kan tänka mig som uppstår:
Varför ska vi bry oss om att penetrationstesta?
Personer är idag försiktiga med att ge ut sina uppgifter på nätet på grund av risken för identitetsstöld som kan leda till bedrägerier. Användare på sidan känner sig säkrare om hemsidan är testad.
Vi är intresserade av ett penetrationstest, hur skulle processen se ut?
Innan vi utför något säkerhetstest erbjuds alltid ett sekretessavtal om ni som kunder är intresserad av det. Vi lämnar självklart garantier att era uppgifter inte sprids oavsett sekretessavtal eller ej men vi erbjuder alltid ett kostnadsfritt sekretessavtal.
Efter det kommer vi överens om vad som ska testas, en tid när säkerhetstestet ska ske och vi byter även kontaktuppgifter med er support. Har ni en stabil server/servrar kommer ni inte märka säkerhetstestet annat än i era loggar, om servern är underdimensionerad kan latensen(svarstiden) öka något. Om hemsidan eller webbapplikationen ligger på ett webbhotell kontaktar vi även dem för att informera att ett säkerhetstest kommer att ske. Er hemsida testas sedan i princip mot alla kända säkerhetshål som berör webbapplikationer och hemsidor. Testet varar vanligtvis runt sex timmar men kan vara längre om det är en stor hemsida. När testerna är klara kontrolleras säkerhetsbristerna manuellt och eventuella säkerhetsbrister sammanställs i två dokument som sedan skickas lösenordskyddat på mailen eller med traditionell brevpost.
Dokumenten är dels en teknisk rapport men även en “executive summary” som belyser säkerhetsbristerna som identifierats och vad de kan leda till utifrån ett icketekniskt perspektiv. Den tekniska rapporten är uppdelad efter hur allvarliga hoten är som identifieras. Kategorierna är hög säkerhetsrisk, medelstor säkerhetsrisk, bör kollas upp och informativt. Det går att läsa mer om säkerhetsbristerna på Sec24. -> Tjänster -> Säkerhetsbrister eller klicka här. Rapporten kan ni sedan skicka vidare till en extern webbutvecklare eller om kompetens finns ordna själva. Behöver ni hjälp med att ordna säkerhetsbristerna finns vi självklart där för att hjälpa er. Läs mer under “Åtgärda säkerhetsbrister“.
Jag har hört av andra att automatiserade tester inte är lika bra som manuella?
Att ett automatiserat test inte klarar att specialskriva kod för att ta över en specifik server råder det ingen tvekan om. Däremot så utgår penetrationstestning från relativt likvärdiga tillvägagångssätt varje gång. Det viktigaste är att ett automatiserat säkerhetstest är rätt konfigurerat och att informationen som fås fram kan tolkas rätt. När stora specifika system ska testas krävs det ofta säkerhetsexperter som använder sig av manuell testning men när det kommer till webbapplikationer och hemsidor går det att automatisera det mesta. Annars kommer penetrationstestaren i en klar majoritet av alla fall manuellt skriva in samma kod med låt oss säga en annorlunda URL istället för att göra det automatiskt. Det gör ett penetrationstest onödigt dyrt när det går att få ett likvärdigt resultat mycket billigare.
All feedback uppskattas!
Intressant post! Hur funkar det om man ska testa att göra en SQL Injection? Måste man inte veta databas namn samt databasens lösenord för att kunna göra en SQL injection? Är det något som mjukvaran DVWA tar reda på, hur funkar det rent konkret?
@glastron 65280 wrote:
Intressant post! Hur funkar det om man ska testa att göra en SQL Injection? Måste man inte veta databas namn samt databasens lösenord för att kunna göra en SQL injection? Är det något som mjukvaran DVWA tar reda på, hur funkar det rent konkret?
Tack så mycket! DVWA är en applikation som är sårbar för bland annat SQL Injection och är inte programvara som identifierar SQLi.
I DVWA kan du testa SQL-Injektion manuellt eller med programmet sqlmap. Du behöver inte veta någonting om databasen sedan tidigare om du har ett formulär eller liknande som är mottagligt för SQL-kod. Du kan dessutom gå utanför databasen som formuläret är kopplat mot och läsa filer på servern eller läsa data ur andra databaser. Guider länkade nedan:
Manuell SQL Injection – Sec24 – Penetrationstest och säkerhetstest.
SQL Injection SqlMap – Sec24 – Penetrationstest och säkerhetstest.
Är det inte ganska meningslöst att göra separata tester på standardsinstallationer av ehandelssystem? Kan tänka mig att det kan vara värt på egenbyggda eller kraftigt modifierade, men det är väl ändå ett fåtal rent procentuellt.
@Fruktsam 65285 wrote:
Är det inte ganska meningslöst att göra separata tester på standardsinstallationer av ehandelssystem? Kan tänka mig att det kan vara värt på egenbyggda eller kraftigt modifierade, men det är väl ändå ett fåtal rent procentuellt.
Förvånansvärt många standardinstallationer som faktiskt har säkerhetsbrister. Sen kan det räcka med ett plugin som inte är rätt kodat för att en angripare ska få åtkomst till hela hemsidan med kundregister och allt.
@OscarA 65286 wrote:
Förvånansvärt många standardinstallationer som faktiskt har säkerhetsbrister. Sen kan det räcka med ett plugin som inte är rätt kodat för att en angripare ska få åtkomst till hela hemsidan med kundregister och allt.
Visst har de ofta säkerhetsbrister. Men jag tror du förstår vad jag menar.
Det räcker väl isåfall med att göra testet på en installation då säkerhetsbristerna är desamma i alla. Men då spricker ju lite din affärsidé.Tror hur som helst att det är bättre om du inriktar dina tjänster till utvecklare istället. Tycker faktiskt det är snudd på bondfångeri att gå ut till ehandlare på ett sådant sätt.
@Fruktsam 65287 wrote:
Visst har de ofta säkerhetsbrister. Men jag tror du förstår vad jag menar.
Det räcker väl isåfall med att göra testet på en installation då säkerhetsbristerna är desamma i alla. Men då spricker ju lite din affärsidé.Tror hur som helst att det är bättre om du inriktar dina tjänster till utvecklare istället. Tycker faktiskt det är snudd på bondfångeri att gå ut till ehandlare på ett sådant sätt.
Jo absolut gör jag det. Har du köpt eller hyrt en lösning borde den vara säkrad men efter att ha säkerhetstestat vissa av de största aktörerna kan jag meddela att så inte är fallet. Finns många som köper en färdig lösning som faktiskt har stora säkerhetshål. Grunderna är ofta samma men plugins skiljer sig och det är även här sårbarheter ofta uppstår.
Utvecklare håller jag på att sätta upp samarbeten med men efter att ha sett hur många E-butiker som har säkerhetsbrister tror jag det finns en marknad här med. I slutändan är det E-handlaren som förlorar anseendet eller mer om E-butiken blir hackad.
- Du måste vara inloggad för att svara på detta ämne.