Kim jest pentester?

Ataki hakerskie są wszechobecne z uwagi na dostępność aplikacji webowych oraz przyjacielskie nastawienie użytkowników sieci internetowej. Oferowanie baz danych stało się chlebem powszednim, pomimo obostrzeń związanych z RODO (Rozporządzenie o Ochronie Danych Osobowych).  Przez akceptację plików cookie, autorzy stron i aplikacji internetowych mają dostęp do zasobów wewnętrznych użytkownika. Coraz częściej dochodzi do wycieku informacji z firm, a mowa o wrażliwych danych, takich jak PESEL czy adres użytkowników. Bezpieczeństwo sieci jest zatem tematem, o którym powinno się mówić głośno, o który trzeba dbać. Testy penetracyjne aplikacji internetowej wykonuje się, gdy strony w sieci wykorzystują więcej danych niż powinny (danych, do których dostęp powinien być ograniczony). Zatrudnienie dobrego programisty, który będzie legalnym hakerem, pomoże zadbać firmie o odpowiednie zabezpieczenia stron internetowych i aplikacji. Pentester wcieli się w rolę hakera i postara się złamać blokady, uzyskując dostęp do danych, które powinny być chronione, następnie sam zadba o wzmocnienie barier bezpieczeństwa lub poinformuje zleceniodawcę, gdzie leży przyczyna problemu.

Ataki, na które narażane są aplikacje oraz zagrożenia na nie czyhające, publikuje organizacja Open Web Application Security Project na własnej stronie internetowej, by skategoryzować ataki hakerskie. Warto z nimi się zapoznać:

  • A1 SQL Injection (wstrzykiwanie);
  • A2 Broken Authentication and Session Management(łamanie mechanizmów uwierzytelniających);
  • A3 Cross-Site Scripting (ataki typu XSS);
  • A4 Insecure Direct Object References (nieodpowiednio zabezpieczone bezpośrednie odwołania do obiektów);
  • A5 Security Misconfiguration (niepoprawna konfiguracja);
  • A6 Sensitive Data Exposure (nieodpowiednie zabezpieczenie poufnych danych);
  • A7 Missing Function Level Access Control ( nieodpowiednia kontrola uprawnień użytkowników);
  • A8 Cross-Site Request Forgery (ataki typu CSRF);
  • A9 Using Known Vulnerable Components (używanie znanych podatności);
  • A10 Unvalidated Redirects and Forwards (nieodpowiednia walidacja przekierowań).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *