Hvad er en penetrationstest til webapplikationer?
En penetrationstest til webapplikation er en aktivitet, der er beregnet til at måle, hvordan et internetbaseret program vil opføre sig under et angreb eller udnytte. Disse test bruger en række softwareprogrammer til at scanne en applikation og derefter udføre forskellige handlinger, der kan forekomme under et faktisk angreb. En penetrationstest til webapplikationer kan udføres af et udviklingshold eller en tredjepartsudbyder. Hvis der bruges en ekstern udbyder, vil udviklingsholdet eller personalet i informationsteknologi (IT) undertiden ikke blive underrettet om testen af ledelsen. Dette kan muliggøre en penetrationstest til webapplikationer for at afdække mangler, der ellers er gået upåagtet hen, hvilket kan tillade, at disse problemer løses, før softwaren frigives.
Webapplikationer er softwarepakker, der kan fås adgang til og køres over internettet. Disse applikationer kan udføre mange funktioner, og i nogle tilfælde er de ansvarlige for håndtering af data, der betragtes som private eller endda værdifulde. For at undgå kompromitterende angreb udføres typisk penetrationstest for at lokalisere eventuelle svagheder eller let udnyttede områder i koden.
Typiske webapplikations penetrationstest begynder med en informationsindsamlingsfase. Formålet med dette trin er at bestemme så meget information om applikationen som muligt. Ved at sende anmodninger til applikationen og bruge værktøjer som scannere og søgemaskiner er det ofte muligt at få information såsom softwareversionsnumre og fejlmeddelelser, der ofte bruges til at finde udnyttelser senere.
Efter en tilstrækkelig mængde information er samlet, er det næste mål med en penetrationstest til webapplikation at udføre en række forskellige angreb og udnyttelse. I nogle tilfælde identificerer de oplysninger, der er indsamlet i den første fase, anvendelser, som applikationen kan være sårbar over for. Hvis der ikke blev opdaget nogen åbenlyse sårbarheder, kan man forsøge en fuld række angreb og udnyttelse.
Mange forskellige tekniske sårbarheder kan findes ved en penetrationstest til webapplikationer. Disse tests vil typisk forsøge at bruge metoder såsom URL-manipulation (universal resource locator), session kapring og struktureret forespørgselssprog (SQL) -injektion til at bryde ind i en applikation. Der kan også være et forsøg på at starte en bufferoverløb eller andre lignende handlinger, der kan få en applikation til at opføre sig unormalt. Hvis nogen af disse angreb eller udnyttelse får applikationen til at afsløre følsomme data til penetrationstesteren, rapporteres fejlene typisk sammen med et foreslået handlingsforløb.