Honlap sérülékenység vizsgálat

Biztonsági vizsgálat

Mottó: Nincs 100%-ig biztonságos rendszer és nincs 100%-os védelem!

Elkészült a honlapod, ami egy újabb mérföldkő a vállalkozás életében. Kinyílt a kapu a nagyvilágra. Sajnos ezen a kapun olyanok is be szeretnének jönni akiket ártó szándék vezérel.

Egy honlapot több ezer féle módon lehet támadni, amit napi szinten meg is tesznek. Ez alól a Te honlapod sem kivétel.

Ha szeretnéd biztonságban tudni a honlapodat és az adataidat, akkor az első lépés, hogy felmérd a kockázatokat. Egy honlap potenciális támadási felület amit garantáltan ki is használnak.

  1. Kinek érdemes elvégeztetnie a biztonsági vizsgálatot?
  2. Mi az a sérülékenység vizsgálat?
  3. A honlapom 100%-ig biztonságos lesz a vizsgálat után?
  4. A GOLNET vállal garanciát ha a vizsgálat után mégis feltörik a honlapot?
  5. Miért támadják meg a honlapomat?
  6. A GOLNET ad támogatást a feltárt hibák javítására?
  7. Miért érdemes a vizsgálatot egy teszt rendszerben elvégezni?
  8. A teszt rendszer ugyanazon a szerveren fut mint az éles rendszer. Ez okoz bármilyen problémát?
  9. A teszt rendszert a GOLNET adja vagy nekem kell biztosítani?
  10. Mi szükséges a biztonsági vizsgálat elvégzéséhez?
  11. Hogyan történik a biztonsági vizsgálat?
  12. Mennyi ideig tart a biztonsági vizsgálat?
  13. Mennyibe kerül a biztonsági vizsgálat?

 

1. Kinek érdemes elvégeztetnie a biztonsági vizsgálatot?

A biztonsági vizsgálat mindenkinek ajánlott aki szeretné tudni a weboldalának a biztonsági szintjét. A kis cégektől a nagy vállalatokig egyaránt. A biztonsági teszt megrendelői leginkább honlap tulajdonosok, projekt menedzserek, rendszer adminisztrátorok, web mesterek, fejlesztők vagy éppen biztonsági szakemberek.

2. Mi az a sérülékenység vizsgálat?

A sérülékenységi vizsgálat (vulnerability test) egy olyan vizsgálati módszer amivel a vizsgálat időpontjában feltárt és nyilvánosságra hozott biztonsági hibákat kihasználva megpróbáljuk kompromittálni a megcélzott rendszert vagy honlapot.

Az Open Web Application Security Project (OWASP) - magyarul a a Nyílt Web Alkalmazás Biztonsági Projekt - egy 2001-ben alakult szervezet ami folyamatosan vizsgálja és közzé teszi a feltárt biztonsági problémákat. A sérülékenység vizsgálat során az OWASP támogatásában lévő szoftverrel megvizsgáljuk a honlapot és egy riportot készítünk a feltárt hiányosságokról, hibákról.

3. A honlapom 100%-ig biztonságos lesz a vizsgálat után?

Ez egy megtévesztő és hibás gondolkodás, hogy egy weblap 100%-ig biztonságos. Annak ellenére, hogy egy biztonsági vizsgálatot végezünk el a weboldalon, ami után szerencsés esetben kijavításra kerülnek a hibák, a weboldalak továbbra is sérülékenyek maradnak. Minden weboldalnak szembe kell nézni az igen nagy számú sérülékenységekkel és fenyegetésekkel. A GOLNET segít a minimálisra csökkenteni annak az lehetőségét, hogy a hackerek feltörjék a honlapodat.

4. A GOLNET garanciát vállal ha a vizsgálat után mégis feltörik a honlapot?

A biztonsági vizsgálat célja a biztonsági hibák felderítése, ezáltal a GOLNET segít abban, hogy a vizsgálat időpontjában ismert sérülékenységekre teszteljük a honlapot. A technológia természetéből adódóan naponta fedeznek fel újabb és újabb sérülékenységeket valamint az feltárt hiányosságok javítása sem minden esetben lehetséges vagy CMS rendszer esetében a fejlesztőkön múlik, hogy javítják-e és mikor a hibát. Ezekből kifolyólag a GOLNET a vizsgálat elvégzése után nem vállal garanciát arra az esetre ha mégis feltörik a honlapot. 

5. Miért támadják a honlapomat?

Minden rendszer vagy alkalmazás ami az interneten keresztül elérhető potenciális célpont. A hackerek nap minden egyes percében figyelik az internetet sérülékeny és nem vagy gyengén védett rendszerek után kutatva függetlenül a vállalat méretétől. Néhány példa arra, hogy a hackerek milyen módon támadhatják a honlapodat:

  1. Adatgyűjtés - Ez egy közvetlen támadás a honlapon található értékes vevői és céges adatok megszerzésére. Például: bankkártya számok, felhasználó nevek és jelszavak, e-mail címek.
  2. Spam (kéretlen e-mail) - A spammerek a honlapodat és/vagy szerveredet felhaszálva küldenek ki millió számra e-maileket, ezáltal lefoglalva a rendelkezésre álló sávszéleséget. Mivel a vállalkozásod szervereit használják erre a célra rövid időn belül a szerverd feketelistára kerül, ami azt eredményezi, hogy nem fogsz tudni sem kapni sem küldeni e-maileket, továbbá rossz fényben tüntetik fel a cégedet ha látszólag a céged küld spam leveleket.
  3. Adattárolás - Miután feltörték a rendszeredet, a hackerek illegális tartalmakat (zene, videó, vírus, stb.) töltenek fel a szerveredre és azon keresztül terjesztik. Ez azt eredményezi, hogy nem csak a honapod elérése lesz letiltva, de még akár a hatóságok felé is bizonytanod kell, hogy nem te vagy a rossz ember.
  4. Vírusok és kártevők terjesztése - A honlapodat arra használják, hogy a látogatók számítógépét vírussal fertőzzék meg. A fertőzés után a hackerek teljes hozzáférést kapnak az ügyfeleid számítógépéhez. Ez a tevékenység rövid úton ahhoz vezet, hogy a kereső szolgáltatások, mint például a Google blokkolja a honlapodat, ezáltal sérül a céged hírneve --> ügyfeleket veszítesz el.
  5. Ugrási pont - A rendszeredet arra használják, hogy más rendszereket támadjanak. A megtámadott rendszer azt fogja rögzíteni, hogy a te rendszeredből érkezett a támadás. Ezáltal a te viseled a károkozás minden következményét.
  6. Elcsúfítás - A hackerek a honlapodat átírják, ezáltal a látogatók nem a kívánt tartalmat fogják látni. A hackerek gyakran csak egy szöveget raknak ki a honlapod helyére: XY által fetört honlap.

6. A GOLNET ad támogatást a feltárt hibák javítására?

Igen, adunk támogatást és tanácsokat a feltárt hibák javítására és a hasonló problémák megelőzésében is tudunk segíteni. Vedd fel velünk a kapcsolatot ha további információra van szükséged.

7. Miért érdemes a vizsgálatot egy teszt rendszerben elvégezni?

A biztonsági vizsgálat a legtöbb esetben jelentős terhelést okoz a szervernek így a honlap elérése lassulhat vagy akadozhat, illetve a megjelenített adatok is hibásan jelenhetnek meg. Ezeket a problémákat elhárítandó az éles honlapról egy tükörmásolatot szükséges készíteni, ezáltal biztosítva azt, hogy a vizsgálat értékelhető legyen. Ritkán, de előfordulhat, hogy bizonyos vizsgálatokat az éles rendszeren kell elvégezni. Ez minden esetben az ügyféllel történt egyeztetés és mérlegelés után történik meg.

8. A teszt rendszer ugyanazon a szerveren fut mint az éles rendszer. Ez okoz bármilyen problémát?

A biztonsági teszt során nagyon intenzíven bombázzuk a rendszert kérésekkel. Ez a kiszolgáló válaszidejének csökkenéséhez vezethet. Amennyiben a teszt rendszer ugyanazon a kiszolgálón van mint az éles rendszer, akkor ez a lassulás az éles rendszert is érintheti.

9. A teszt rendszert a GOLNET adja vagy nekem kell biztosítani?

A GOLNET az alábbi okok miatt nem biztosítja a teszt rendszert:

  • A honlapja a cégénél lévő kiszolgáló infrastruktúrán üzemel, aminek a lemásolása gyakorlatilag lehetetlen.
  • Adott esetben egy teljes honlap költöztetése a hozzá tartozó adatbázissal együtt igen bonyolult lehet

Olyan honlapok esetében, amennyiben a honlapot kiszolgáló tárhely egy, a cégtől független szolgáltatónál van a GOLNET előzetes vizsgálat és kockázatbecslés után vállalja a teszt rendszer biztosítását. Ebben az esetben nem garantálható a teljesen hibamentes költöztetés és a teszt is adhat hibás eredményt.

10. Mi szükséges a biztonsági vizsgálat elvégzéséhez?

Az alábbi információk szükségesek a biztonsági teszt gördülékeny lefolytatásához:

  • A pontos URL címe a teszt és az éles rendszernek.
  • Teszt rendszer, ami lehetőleg az éles rendszer pontos másolata legyen (további információk a 7. pontban)
  • Teszt hozzáférés a teszt rendszerhez.
  • Egyéb kapcsolódó dokumentáció vagy háttérinformáció a honlappal kapcsolatban. Például egyedi fejlesztés leírása.
  • A biztonsági tesztet esetlegesen több IP címről végezzük, ezért ezen IP címekről való teljes hozzáférést engedélyezni kell.

11. Hogyan történik a biztonsági vizsgálat?

A biztonsági vizsgálatot minden esetben körültekintő előkészítés után végezzük el. Egy átlagos biztonsági vizsgálat nagyvonalakban az alábbiak szerint történik:

  • adategyeztetés és szerződéskötés
  • teszt rendszer létrehozása és a 10. pontban lévő információk rendelkezésre bocsájtása
  • teszt elvégzése: néhány esetben olyan hibába ütközhetünk ami a teszt megszakítását eredményezheti. Ebben az esetben a hiba kijavítása és a teszt újrakezdése szükséges.
  • teszteredmények kiértékelése
  • vizsgálati jegyzőkönyv elkészítése
  • a feltárt hibák és sérülékenységek megbeszélése, szükség szerint tanácsadás

A vizsgálat menete eltérhet a fentiektől a tesztelendő rendszer sajátosságaiból adódóan.

 

12. Mennyi ideig tart a biztonsági vizsgálat?

A honlapok és kiszolgáló infrastruktúra minden esetben más. Egyesek bonyolultabbak, másik egyszerűbbek. A teljes biztonsági vizsgálat több tényezőtől függ, ezért pontos időtartamot nem lehet megadni.

13. Mennyibe kerül a biztonsági vizsgálat?

A biztonsági vizsgálatot minden esetben a vizsgálat alá vont rendszer sajátosságai alapján végezzük, ezért minden teszt egyedi ami az árat is befolyásolja. Ebből kifolyólag minden esetben felmérjük a tesztelendő rendszert és utána egyedi árajánlatot adunk.

A weboldalunk sütiket használ. A weboldal használatával hozzájárulsz a sütik használatához.
További információ