Kontrola zdrojových kódů
Analýza zdrojového kódu odhalí skryté hrozby a slabá místa v aplikaci, která není snadné odhalit běžnými penetračními testy. Po revizi kódu vám odevzdáme podrobný popis zranitelností s konkrétními doporučeními k nápravě.
Platné od: 28. 11. 2023
Bezpečný vývoj a revize zdrojového kódu
Code review
Kontrolujeme bezpečnost poskytnutých zdrojových kódů formou manuální i automatizované analýzy a podáváme doporučení šitá na míru dané aplikaci i technologiím.
Advanced white-box
Prověřujeme bezpečnost aplikací kombinací bezpečnostních revizí kódu, penetračních testů a auditů cílových aplikací.
Checkmarx
Pomáháme klientům implementovat pokročilá řešení od společnosti Checkmarx pro automatizovanou analýzu zdrojových kódů (CxSAST), analýzu kompozice aplikace (CxSCA) a školení vývojářů (Codebashing).
Školení a konzultační činnost
Provádíme školení bezpečného vývoje v oblasti procesní (SSDLC) i technické (bezpečný vývoj webových aplikací).
Kontrolujeme bezpečnost poskytnutých zdrojových kódů formou manuální i automatizované analýzy a podáváme doporučení šitá na míru dané aplikaci i technologiím.
Advanced white-box
Prověřujeme bezpečnost aplikací kombinací bezpečnostních revizí kódu, penetračních testů a auditů cílových aplikací.
Checkmarx
Pomáháme klientům implementovat pokročilá řešení od společnosti Checkmarx pro automatizovanou analýzu zdrojových kódů (CxSAST), analýzu kompozice aplikace (CxSCA) a školení vývojářů (Codebashing).
Školení a konzultační činnost
Provádíme školení bezpečného vývoje v oblasti procesní (SSDLC) i technické (bezpečný vývoj webových aplikací).
Code review
- Revize aplikací v mnoha populárních jazycích (Java, C#, PHP, …).
- Interní metodologie založená na zkušenostech z bezpečného vývoje i penetračních testů, opírající se o uznávané standardy projektu OWASP.
- Umožňuje odhalit vývojářské chyby, backdoory, chyby v návrhu, nedodržování best practices, použití slabé kryptografie a mnoho dalších zranitelných míst v aplikaci.
- Code review se skládá ze dvou hlavních analyzačních částí:
- Automatizovaná revize celého kódu pomocí open-source i proprietárních nástrojů a prověření výsledků bezpečnostním specialistou.
- Manuální revize celého kódu, či jeho dílčích částí vybraných klientem či bezpečnostním specialistou.
- Nalezené zranitelnosti jsou podrobně popsány a jsou k nim na míru poskytnuta doporučení, která berou v potaz použitý technologický stack.
Advanced white-box
- Pokročilá forma white-box testování.
- Kombinace penetračních testů, code review a volitelně i dalších disciplín.
- Dosahuje vyšší kvality i efektivity spojením sil etických hackerů s experty na bezpečný vývoj.
- Maximalizuje užitek z více bezpečnostních disciplín.
Checkmarx
- CxSAST – nástroj pro automatizovanou statickou analýzu zdrojových kódů, který je možné integrovat se širokým spektrem technologií.
- CxSCA – nástroj pro analýzu kompozice software, jehož cílem je nalezení zranitelných softwarových závislostí i licenčních konfliktů.
- Codebashing – platforma pro vzdělávání vývojářů v oblasti psaní bezpečného kódu.
Školení a konzultační činnost
- Školení technického i procesního charakteru.
- Konzultace v oblasti bezpečného vývoje.
Případová studie
Jeden z našich předních klientů nás požádal o penetrační testy nově vytvářené mobilní aplikace, která spravuje finanční informace uživatelů. Jelikož byla aplikace vyvíjena dodavatelskou firmou, byly jsme klientem kromě ověření bezpečnosti požádání také o prověření dodržení kritérií, které měla aplikace dle návrhu splňovat.
Při penetračních testech jsme objevili několik velmi závažných zranitelností v oblasti autentizace a autorizace, díky kterým by mohl útočník přistupovat k profilovým a finančním informacím všech uživatelů produktu. Tato velmi kritická data by mohla být hackery využita například k phishingovým kampaním, mířeným na uživatele, či přímo v útocích na instituci. Pokud by tato situace nastala již za reálného provozu, hrozily by společnosti velké finanční ztráty, s nimi spojena ztráta klientské základny a poškození dobré pověsti. Protože však penetrační testy proběhly včas před publikací aplikace do reálného provozu, podařilo se tomuto závažnému incidentu zabránit.
Analýza návrhu a reálného stavu aplikace navíc poukázala na některé odchylky od smluvených požadavků, například v oblasti práce s dokumenty uživatele, jenž podléhá zákonu o GDPR, kterou dodavatel v aplikaci nedostatečně zabezpečil. Klient tak mohl v rámci smlouvy vyjednat urychlené bezplatné opravy, a ještě tak navýšit úroveň zabezpečení své mobilní aplikace.
Při penetračních testech jsme objevili několik velmi závažných zranitelností v oblasti autentizace a autorizace, díky kterým by mohl útočník přistupovat k profilovým a finančním informacím všech uživatelů produktu. Tato velmi kritická data by mohla být hackery využita například k phishingovým kampaním, mířeným na uživatele, či přímo v útocích na instituci. Pokud by tato situace nastala již za reálného provozu, hrozily by společnosti velké finanční ztráty, s nimi spojena ztráta klientské základny a poškození dobré pověsti. Protože však penetrační testy proběhly včas před publikací aplikace do reálného provozu, podařilo se tomuto závažnému incidentu zabránit.
Analýza návrhu a reálného stavu aplikace navíc poukázala na některé odchylky od smluvených požadavků, například v oblasti práce s dokumenty uživatele, jenž podléhá zákonu o GDPR, kterou dodavatel v aplikaci nedostatečně zabezpečil. Klient tak mohl v rámci smlouvy vyjednat urychlené bezplatné opravy, a ještě tak navýšit úroveň zabezpečení své mobilní aplikace.
Přínosy
- Při analýzách zdrojových kódů klademe důraz na manuální revize, které vedou k odhalení většího množství chyb než běžná automatizovaná řešení.
- Analýza zdrojového kódu odhalí skryté hrozby a slabá místa v aplikaci, která není snadné odhalit běžnými penetračními testy.
- Po revizi kódu vám odevzdáme podrobný popis zranitelností s konkrétními doporučeními k nápravě.
Tisk do PDF
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?