Пентест для банку
Бізнес кейс: Тестування на проникнення розроблених банком мобільних застосунків
Метою тестування на проникнення було перевірити безпеку мобільних застосунків банку перед запуском. Наші пентестери здійснили мобільний Grey Box пентест версій для IOS та Android, а також надали рекомендації щодо архітектури мобільних додатків.
Процес
Етап 1. Підготовка
Визначено обсяг тесту на проникнення, зосереджуючись на мобільних застосунках (iOS і Android), пов’язаних серверних службах і API.
Встановлені вказівки щодо процесу тестування, щоб уникнути переривання послуг клієнта та забезпечити, щоб тестування проводилося етично.Етап 2. Фаза сканування
Розвідка: зібрано інформацію про мобільні додатки за допомогою методів пасивної та активної розвідки.Статичний аналіз: проведено статичний аналіз коду для виявлення недоліків безпеки у вихідному коді програми, включаючи жорстко закодовані секрети та незахищені конфігурації.
Динамічний аналіз: виконано динамічне тестування запущених програм для виявлення вразливостей, таких як незахищене зберігання даних, слабке шифрування та неправильне керування сеансами.
Тестування API: проведена оцінка безпеки серверних API на наявність недоліків автентифікації, авторизації та перевірки даних.
Аналіз мережевого трафіку: проаналізовано мережевий трафік між мобільними програмами та внутрішніми серверами, щоб виявити незахищений зв’язок.Експлуатація: Спроба використати виявлені вразливості, щоб оцінити їхній вплив і зрозуміти рівень доступу, який потенційно може отримати зловмисник.Постексплуатація: проаналізовано наслідки успішної експлуатації, включаючи викрадання даних, ескалацію привілеїв і бічне переміщення в мережі.
Етап 3. Звітність
Документація висновків: задокументовано всі виявлені вразливості, включаючи детальні описи, докази використання та потенційний вплив.Оцінка ризику: Оцінка ризику, пов’язаного з кожною вразливістю, на основі її ймовірності та впливу.Рекомендації щодо усунення: надані рекомендації щодо виправлення кожної виявленої вразливості. Рекомендації включали як термінові виправлення, так і довгострокові покращення безпеки.Резюме: Підготовлено загальне резюме висновків і рекомендацій для представлення виконавчій команді клієнта.
Методики, які ми використовуємо
OWASP Testing Guide - галузевий стандарт тестування безпеки для веб-додатків і пов’язаних технологій.
ISECOM OSSTMM3 - методологія тестування безпеки високого рівня, розроблена та підтримується Інститутом безпеки та відкритих методологій. Використовується як основа для планування, координації та звітності.
NIST SP800-115 - технічна методологія перевірки ІТ-безпеки, обов’язкова для федеральних агентств США. Використовується в рамках автоматизованого сканування вразливостей, аналізу та перевірки.
PTES - інноваційна методологія тестування на проникнення, що розробляється групою провідних світових спеціалістів з тестування на проникнення, аудиту безпеки та соціальної інженерії.
Вам цікаво дізнатися більше про цей кейс чи у вас є подібні потреби безпеки?
Наша команда експертів ESKA провела тестування на проникнення мобільних додатків банку перед запуском. В результаті наші клієнти отримали підтвердження рівня захисту мобільних застосунків, рекомендації щодо виправлень та підвищення рівня їх безпеки.Моделюючи реальні сценарії атак, ми можемо допомогти компаніям виявити та усунути вразливі місця в їхніх системах, забезпечивши найвищий рівень захисту даних їхніх клієнтів.
Захистіть дані своєї організації та клієнтів, заповнивши форму нижче, щоб надіслати запит на комплексну оцінку вразливостей та тест на проникнення від нашої досвідченої команди. Будьте на крок попереду кіберзагроз і зміцніть свій захист вже сьогодні.
Також, Вас можуть зацікавити такі послуги
Корисні статті на тему тесту на проникнення
Тестування на проникнення: базована тема для кібербезпеки
Основною метою пентесту є виявлення вразливостей, якими можуть скористатися зловмисники. Тестування на проникнення намагається скомпрометувати систему організації, щоб виявити слабкі місця в системі безпеки. У цій статті ми детально розповімо про те, що таке тест на проникнення, чому про нього так багато говорять і для чого він вашій компанії.
Пентест як один із ключових компонентів кібербезпеки та стандартів безпеки
Тестування на проникнення, є важливою стратегією кібербезпеки, спрямованою на імітацію кібератак на комп'ютерні системи, мережі, веб-сайти чи застосунки. Основною метою тестування на проникнення є виявлення та вирішення слабкостей, які кіберзлочинці можуть використовувати, ще до того, як відбудеться зловмисна атака.
Тестування на проникнення у фінансовій галузі
Тестування на проникнення — важлива частина комплексної програми захисту інформаційної системи для банківської та фінансової галузі. У цій статті ми поговоримо про основні кіберзагрози з якими стикаються банки та страхові, необхідність та переваги пентесту і розповімо чому важливо вибирати надійного партнера з кібербезпеки.