?
Close

Slovar

OWASP
OWASP (Open Web Application Security Project) ® je neprofitna svetovna organizacija, ki si prizadeva izboljšati varnost programske opreme. OWASP izdaja Top 10 ranljivosti, ki so glavne varnostne napake v spletnih aplikacijah.
Penetracijski test
Penetracijski test, imenovan tudi pentest ali vdorni test ali etični heking, je avtoriziran simuliran kibernetski napad na računalniški sistem, s katerim se izvede ocena varnosti sistema.
Phishing
Phishing je vrsta napada socialnega inženiringa, ki se pogosto uporablja za krajo uporabnikovih podatkov, vključno s prijavnimi poverilnicami in številkami kreditnih kartic.
SAST-orodja
Orodja za analizo izvorne kode, imenovana tudi SAST-orodja, so namenjena analizi izvorne kode ali sestavljenih različic kode, ki pomagajo najti varnostne napake.
Socialni inženiring
Socialni inženiring je psihološka manipulacija ljudi, da izvedejo dejanja ali razkrijejo zaupne informacije.
Vrivanje skriptne kode
Gre za poseben primer vrivanja kode, v katerem napadalec vnese zlonamerno kodo v spletno stran tako, da spremeni podatke, ki jih pošlje zaupanja vreden vir (pogosto tudi drugo spletno mesto). Spletna stran, ki prejme informacije, izvrši zlonamerno kodo in tako odobri dostop do drugače zaščitenih podatkov.
Vrivanje SQL-stavkov
Vrivanje SQL-stavkov je tehnika, ki se uporablja za napad na aplikacije, kjer se zlonamerni SQL-stavki vstavijo v vnosno polje (npr. za pridobivanje vsebine celotne podatkovne baze).

Pogosto zastavljena vprašanja (FAQ)

Obstajajo številni razlogi, zakaj opraviti penetracijski test. Eden od razlogov je seveda lahko ta, da ga morate, ampak to ni najboljši razlog.

Menimo, da so naslednji razlogi boljši:

  • Prihranite pri stroških – stroški penetracijskega testa so nižji od škode, ki jo lahko povzročijo ranljivi sistemi ali aplikacije v vašem okolju.
  • Upravljanje s tveganji – zmanjšajte svojo izpostavljenost in bodite korak pred hekerji.
  • Zmanjšajte nedostopnost vaših storitev – incidenti so strošek tako v denarju in času. Vsaka minuta, ko vaša aplikacija ne deluje, je zelo pomembna.
  • Bodite skladni – veliko število strank danes zahteva skladnost s področja informacijske varnosti in naj ne bo to ovira pri vašem uspešnem poslovanju.

Eden izmed najpomembnejših razlogov pa je ta, da poiščete primerno ekipo, kateri zaupate izvedbo testiranja, sami pa se posvetite svojemu primarnemu poslovanju in strankam.  

Najkrašji možni odgovor na to vprašanje je, da je odvisno. Odvisno je od velikosti aplikacije, uporabljene tehnologije ter od izkušenj in sposobnosti izvajalca. Prav tako je potrebno upoštevati, da je včasih dolžina izvajanja testiranja odvisna od kvalitete aplikacije. 

V povprečju pa lahko rečemo, da traja testiranje srednje velike aplikacije prilbižno en teden. Naš proces testiranja je tak, da v izvedbo testiranja vključimo dva testerja. Po izvedi testiranja sledi obvezna predstavitev rezultatov in verifikacija, ki potrdi, da so bile vse pomankljivosti ustrezno odpravljene.

Odgovor na to vprašanje je najtežji, saj je cena odvisna od vhodnih parametrov, kot so na primer:

  • velikost aplikacije,
  • uporabljena tehnologija,
  • ali je bila aplikacija v preteklosti že varnostno pregledana,
  • globina testiranja,
  • ali se testiranje izvede na lokaciji ali oddaljeno,
  • ali je vključena verifikacija ali ne.

Če menite, da je strošek penetracijskega testiranja visok, na žalost ni drugega zanesljivega načina, da preverite, ali je vaša aplikacija res varna. V primeru, da pravi hekerji uspejo zlorabiti vašo aplikacijo, bo strošek bistveno višji, kot bi bil sam penetracijski test.