Co je test penetrace webových aplikací?
Test penetrace webové aplikace je aktivita určená k měření toho, jak by se internetový program choval během útoku nebo zneužití. Tyto testy využívají různé softwarové programy ke skenování aplikace a poté k provádění různých akcí, ke kterým může dojít během skutečného útoku. Test penetrace webové aplikace může provádět vývojový tým nebo poskytovatel služeb třetích stran. Pokud je použit externího poskytovatele, management vývojového týmu nebo zaměstnanců informačních technologií (IT) někdy nebude o testu informován. To může umožnit, aby test penetrace webové aplikace odhalil nedostatky, které by se jinak nevšimly, což může umožnit, aby byly tyto problémy vyřešeny před vydáním softwaru.
Webové aplikace jsou softwarové balíčky, ke kterým lze přistupovat a spouštět je přes internet. Tyto aplikace mohou vykonávat mnoho funkcí a v některých případech jsou odpovědné za zpracování dat, která jsou považována za soukromá nebo dokonce cenná. Aby se předešlo ohrožujícím útokům, obvykle se provádějí penetrační testy, aby se zjistily případné slabiny nebo snadno využívané oblasti v kódu.
Typické testy penetrace webových aplikací začínají fází shromažďování informací. Účelem tohoto kroku je zjistit co nejvíce informací o aplikaci. Odesláním žádostí do aplikace a pomocí nástrojů, jako jsou skenery a vyhledávače, je často možné získat informace, jako jsou čísla verzí softwaru a chybové zprávy, které se často používají k pozdějšímu využití.
Po nashromáždění dostatečného množství informací je dalším cílem testu penetrace webové aplikace provést řadu různých útoků a zneužití. V některých případech budou informace shromážděné během první fáze identifikovat využití, ke kterým může být aplikace zranitelná. Pokud nebyly zjištěny žádné zjevné chyby, lze se pokusit o celou škálu útoků a zneužití.
Webovým aplikačním testem lze najít mnoho různých technických zranitelností. Tyto testy se obvykle pokusí použít metody, jako je manipulace s univerzálním zdrojovým vyhledávačem (URL), únos relací a injekce jazyka strukturovaného dotazu (SQL), aby se vloupaly do aplikace. Může také dojít k pokusu o zahájení přetečení vyrovnávací paměti nebo jiných podobných akcí, které mohou způsobit, že se aplikace chová neobvykle. Pokud některý z těchto útoků nebo exploitů způsobí, že aplikace odhalí citlivá data testeru penetrace, jsou chyby obvykle hlášeny spolu s navrhovaným postupem.