Testing av Webapplikasjoner og API

Vår metodikk

Når vi gjennomfører penetrasjonstesting av nettsider, bruker vi ledende standarder fra OWASP (Open Web Application Security Project) og NISTs anerkjente retningslinjer for sikkerhetstester.

Vår metodikk er skreddersydd for å grundig analysere og verifisere sikkerheten til webapplikasjoner og APIer, og kartlegge eventuelle sårbarheter. Vi benytter et bredt spekter av utvalgte testtilfeller for å sikre en helhetlig vurdering. Vår testmetodikk omfatter:

Grundig informasjonsinnsamling for å kartlegge potensielle sårbarheter
Testing av konfigurasjon og utrullingsprosesser
Undersøkelser av identitets- og autentiseringsmekanismer
Autorisasjons- og sesjonshåndteringstester
Valideringstester av brukerinndata
Feilhåndtering og kryptografianalyse
Testing av forretningslogikk og sikkerhet på klienter
Spesialisert API-testing for å avdekke skjulte sårbarheter

Vårt mål er å levere en rapport med detaljerte funn og konkrete anbefalinger som direkte bidrar til økt innsikt for å kunne styrke sikkerheten til kundens digitale verdier. Ved å gjennomføre sikkerhetstester med oss blir webapplikasjonene testet mot de nyeste og mest avanserte sikkerhetstruslene, noe som gir en robust verifisering av sikkerhetsnivået.

Verdi for deg som kunde

Verifisere sikkerhetsmekanismer mot både autentiserte og uautentiserte angrep for å sikre optimal beskyttelse.
Kartlegging av kundens angrepsoverflate som er ekternt eksponert mot internett.
Demonstre hvordan eksternt eksponert infrastruktur kan kompromitteres av trusselaktører.
Avdekke feilkonfigurasjoner, sårbarheter og utilstrekkelige tekniske kontroller.

Hva vi leverer

Vi utfører selve vurderingen og det vil krever minimal deltakelse fra teknisk personale hos kunden.
Kunden deltar på et oppstartsmøte slik at vi kan forstå selskapets infrastruktur og mål, samt for å avklare det endelige omfanget av testen.
Vi leverer en sluttrapport med detaljerte observasjoner og konkrete anbefalte tiltak for å øke sikkerheten.

Kontakt

Daniel Lovborn daniel.lovborn@xlent.no

Kontor

Wergelandsveien 7 0167 Oslo

Ofte stilte spørsmål

Hva er en penetrasjonstest av en applikasjon?

En kontrollert test som undersøker hvordan sikkerhetsmekanismene i en applikasjon fungerer. Formålet er å avdekke systemiske feil, svakheter og sårbarheter.

Hva skiller dette fra en ekstern sikkerhetstest?

En ekstern test ser helhetlig på angrepsoverflaten til bedriften. I en test av webapplikasjoner og API-er ser vi konkret på den aktuelle applikasjonen for å avdekke tekniske svakheter og sårbarheter.

Hvorfor er API-sikkerhet så kritisk?

API-er eksponerer funksjonalitet direkte og utgjør derfor en attraktiv vektor for angripere. Feil i API-er kan gi tilgang til store datamengder.

Hvilke standarder baserer dere testene på?

Vi baserer oss på OWASP Web Security Testing Guide (WSTG) og OWASP Application Security Verification Standard (ASVS). Vi følger også MITREs Common Weakness Enumeration (CWE) og vurderer sårbarheter etter Common Vulnerability Scoring System (CVSS).

Kan dere teste mobilapper også?

Ja, vi har testere med god erfaring innen sikkerhetstesting av mobilapper. Da tester vi tilhørende API og baserer testing av selve appen på OWASP’s Mobile Application Security Verification Standard (MASVS).

Kan dere teste uten at vi har dedikerte testmiljøer?

Ja, men vi anbefaler testing i staging- eller testmiljø. Hvis det ikke er mulig, gjennomføres testene med ekstra restriksjoner for å sikre trygg drift.

Hvor lang tid tar en applikasjonstest?

Mellom noen få dager og flere uker, avhengig av funksjonalitet, antall endepunkter og kompleksitet. Omfang og tidslinje avklares i forkant i samarbeid med dere.

Hva får vi i etterkant av testen?

En detaljert rapport, vurdering av kritikalitet, gjenskapingssteg og konkrete anbefalinger. Vi kan også bistå i å utbedre sårbarhetene som er identifisert om ønskelig i tråd med anbefalingene vi gir.

Webapplikasjoner og API