Hva er en penetrasjonstest for webapplikasjoner?
En penetrasjonstest for nettapplikasjoner er en aktivitet som er designet for å måle hvordan et Internett-basert program ville oppføre seg under et angrep eller utnytte. Disse testene bruker forskjellige programmer for å skanne et program og deretter utføre forskjellige handlinger som kan oppstå under et faktisk angrep. En penetrasjonstest for webapplikasjoner kan utføres av et utviklingsteam eller en tredjeparts tjenesteleverandør. Hvis en ekstern leverandør brukes, vil utviklingsgruppen eller IT-staben noen ganger ikke bli varslet om testen av ledelsen. Dette kan tillate en penetrasjonstest for webapplikasjoner å avdekke feil som ellers kan ha blitt upåaktet oppmerksomhet, noe som kan tillate at disse problemene løses før programvaren lanseres.
Nettapplikasjoner er programvarepakker som du får tilgang til og kjører over Internett. Disse applikasjonene kan utføre mange funksjoner, og i noen tilfeller er de ansvarlige for å håndtere data som anses som private eller til og med verdifulle. For å unngå kompromitterende angrep utføres typisk penetrasjonstester for å lokalisere eventuelle svakheter eller lett utnyttede områder i koden.
Typiske penetrasjonerstester for webapplikasjoner begynner med en informasjonsinnsamlingsfase. Hensikten med dette trinnet er å bestemme så mye informasjon om applikasjonen som mulig. Ved å sende forespørsler til applikasjonen, og bruke verktøy som skannere og søkemotorer, er det ofte mulig å skaffe informasjon som programvareversjonsnumre og feilmeldinger som ofte brukes til å finne utbytter senere.
Etter at en tilstrekkelig mengde informasjon er samlet, er det neste målet med en penetrasjonstest for webapplikasjoner å utføre en rekke forskjellige angrep og utnyttelser. I noen tilfeller vil informasjonen som ble samlet inn i første fase identifisere utnyttelser applikasjonen kan være sårbar for. Hvis det ikke ble oppdaget noen åpenbare sårbarheter, kan du prøve et komplett spekter av angrep og utnyttelse.
Mange forskjellige tekniske sårbarheter kan bli lokalisert ved en penetrasjonstest for webapplikasjoner. Disse testene vil vanligvis forsøke å bruke metoder som URL-manipulering (universal resource locator), økt kapring og SQL (injisert strukturert spørrespråk) for å bryte inn i et program. Det kan også være et forsøk på å sette i gang et bufferoverløp eller andre lignende handlinger som kan føre til at en applikasjon oppfører seg unormalt. Hvis noen av disse angrepene eller utnyttelsene får applikasjonen til å avsløre sensitive data for penetrasjonstesteren, rapporteres feilene vanligvis sammen med et foreslått handlingsforløp.