Penetrační testování


Účelem penetračního testování je identifikovat slabá místa ve vašich systémech tak, aby server s vašimi daty byl dostatečně zabezpečený. Používají se stejné techniky jako používají skuteční hackeři, tím je ověřena odolnost systémů vůči reálným útokům. Výsledkem každého penetračního testu je písemný report s identifikovanými problémy spolu s doporučeními, jak je opravit.

Typy testování

Testování webových aplikací
Jedná se o manuální penetrační testování webových aplikací s využitím komerčních nástrojů. Testy jsou prováděné v souladu s metodikou OWASP (Open Web Application Security Project).

Testování infrastruktury a systémů
Pro penetrační testování infrastruktury a systémů jsou použity komerční nástroje spolu s manuálním testováním našich odborníků. Testy jsou prováděny v souladu s metodikou PTES.

Cílová skupina

Testovány jsou pouze subjekty ve vztahu k Masarykově univerzitě. Testování soukromých webových stránek a veřejných subjektů není v rámci CSIRT-MU prováděno.

Rozsah

Samotné testování může trvat několik týdnů. Následně je potřeba počítat s časem na vypracování prvního reportu (v řádce dnů). V případě retestu je doba testování několikanásobně kratší, několik dní je pak vyhrazeno na finální report.

Cena testování

Pro další rozvoj a fungování týmu testerů je vyžadováno finanční spolupodílnictví na vykonání penetračního testování zadaného systému. Konkrétní cena záleží na mnoha parametrech, je možné zažádat o vyhotovení nabídky na e-mailu Tomci@ics.muni.cz.

Fáze testování

  • 1. Dohoda

    Prvním krokem je smluvení podmínek provedení penetračního testu. Za tím účelem jsou shromážděny všechny informace, které jsou potřebné k zahájení testování a následně domluven jeho rozsah.

  • 2. Penetrační test

    Druhým krokem je samotné penetrační testování. V případě, že bude odhalena kritická zranitelnost, budete kontaktováni ještě před vydáním reportu, aby mohla být hrozba odstraněna co nejdříve. V opačném případě probíhá testování bez povšimnutí. 

  • 3. Úvodní report

    Po dokončení testování je vypracována zpráva, která obsahuje všechna zjištění, popis jejich významu a doporučení, jak je napravit, popř. jim předcházet. Report obsahuje jak vysokoúrovňové shrnutí problémů, tak technické detaily a doporučení pro administrátory a správce webů.

  • 4. Retest

    Po vyhotovení úvodního reportu má žadatel prostor pro vyřešení nalezených problému. V případě zájmu je možné provést další test, který slouží pro ověření, zda jsou nalezené chyby opraveny. Během této fáze se mohou objevit další problematické části.

  • 5. Finální report

    Poté, co je vše hotovo a otestováno, je vyhotoven závěrečný report se všemi nalezenými problémy. 

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.