Pełen raport z prawdziwych testów bezpieczeństwa

11 września 2017, 12:13 | Aktualności | komentarzy 6
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Dla niecierpliwych – można pobrać pełen, nieocenzurowany, przeszło 30-stronicowy raport z testów bezpieczeństwa systemu do zarządzania klientami (CRM – Customer Relationship Management) – YetiForce. Testy realizowała załoga Securitum. Dla pewności – raport publikujemy  za formalnym pozwoleniem YetiForce; sam system jest dostępny w modelu OpenSource.

Czytając materiał warto pamiętać, że nie są to pełne testy aplikacji YetiForce – zgodnie z założeniami liczba dni poświęcona na testy była znacznie ograniczona, audyt skupiał się na najistotniejszych podatnościach – a do tego bez posiadania uprawnień administracyjnych.

Spis treści

Na początek zobaczycie  jak z poziomu konta zwykłego użytkownika można było otrzymać nieautoryzowany dostęp na system operacyjny. Podobną rzecz można było zrealizować – przy pewnych założeniach – wysyłając „niezwykły” e-mail, który był importowany do CRM-a.

Jest też klasyka gatunku testów penetracyjnych – podatności XSS oraz SQL injection.

Wśród rzeczy, które z rozpędu można przeoczyć, warto spojrzeć na podatność nr 8: „Niedziałające zabezpieczenie przed bruteforce przy niezgodności stref czasowych„. Co ma jedno do drugiego? Zobaczcie w samym raporcie.

 

Jeśli myślicie, że i Wasza aplikacja może mieć podobne problemy – zachęcam do spojrzenia na ofertę Securitum – audyty bezpieczeństwa.

Warto też zwrócić uwagę, że wszystkie wskazane przez ekipę Securitum problemy zostały załatane.

PS
Aby zwiększyć aspekt edukacyjny całej operacji, udostępniamy też maszynę wirtualną z wersją systemu, w której zostały znalezione błędy (można je więc na spokojnie odtworzyć u siebie). Instrukcja instalacji:

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. oi

    świetna opcja z tą wirtualką do pobrania!

    Odpowiedz
  2. Karol

    dzieki za tego boxa do vagranta!

    Odpowiedz
  3. Bardzo dobry pomysł z udostępnieniem raportu dla osób, które zajmują się pen-testami (nie tylko) dobry materiał do edukacji.
    Oby więcej takich :)

    Odpowiedz
  4. Hey,

    Dlaczego nie zglaszacie server banner disclosure?

    Server: Apache/2.4.7 (Ubuntu)

    Dlaczego nie zglaszacie Missing Security Headers?

    Takie jak X-FRAME-OPTIONS, X-XSS-Protection, CSP, HSTS itd?

    Pzd

    Odpowiedz
    • Hej. Bo skupialiśmy się tylko na aplikacji – co jest wpisane w raporcie w pierwszym zdaniu ;-)

      Jak ktoś zainstaluje to na Apache ze starym PHPem i na nieaktulizowanym OS – to nie kwestia aplikacji.

      Nagłówki – testy skupiały się wykryciu największych problemów – patrz bugi czerwone. Drobnicy to można by wykryć i z 20 stron. Co też zresztą uczyniliśmy, ale w kolejnych iteracjach :-)

      Odpowiedz
  5. Odpowiedz

Odpowiedz