Cílené Web Application Security Review
Cílené ověření vybraných oblastí webové aplikace podle předem potvrzeného rozsahu — bez slibu neomezeného full-scope pentestu.
Cílem je ověřit, zda aplikace neobsahuje prakticky zneužitelné chyby, které mohou vést k neoprávněnému přístupu k datům, převzetí účtu, obejití oprávnění, zneužití API, manipulaci s aplikační logikou nebo úniku citlivých informací.
Stačí změnit jedno ID?
U chyb v oprávněních a API často nejde o složitý útok. Někdy stačí změnit ID objektu, použít jiný token nebo zavolat endpoint, který frontend běžnému uživateli jen skryl.
Pokud backend nekontroluje vlastnictví objektu, autorizaci ani business pravidla, může se z běžného účtu stát cesta k cizím datům, převzetí účtu nebo zneužití aplikační logiky.
Právě tyto reálně zneužitelné chyby v review hledám.
Pokud server po změně ID vrátí cizí objednávku, znamená to, že uživatel může přistupovat k datům, ke kterým nemá mít oprávnění.
Šest oblastí web application security
Finální rozsah se vždy potvrzuje individuálně podle aplikace. Review se může zaměřit na jednu konkrétní oblast, kombinaci oblastí nebo na celé spektrum.
Access Control & IDOR
Ověření, zda se běžný uživatel nemůže dostat k cizím datům, objektům nebo funkcím změnou ID, parametru nebo API requestu.
- horizontální a vertikální access control
- IDOR v URL, query parametrech a JSON body
- přístup k cizím objednávkám, fakturám, dokumentům nebo profilům
- přístup běžného uživatele k administrátorským funkcím
- kontrola server-side authorization checks
- odhalení frontend-only restrictions
Authentication & Session
Kontrola přihlášení, resetu hesla, změny hesla, změny e-mailu a správy session.
- login a chybové hlášky
- username / e-mail enumeration
- základní rate limiting
- password reset flow
- expirace a opakované použití reset tokenů
- session po změně hesla
- logout invalidation
- cookie flags
API Security
Kontrola API endpointů, autorizace, manipulace s parametry a nadměrného vracení dat.
- requesty bez tokenu
- requesty s tokenem jiného uživatele
- chybějící autorizace
- IDOR v API
- excessive data exposure
- mass assignment
- method tampering
- citlivé endpointy
Business Logic
Ověření, zda nelze obejít obchodní pravidla, workflow nebo limity aplikace.
- manipulace s cenou
- opakované použití slevy
- přeskočení kroků workflow
- změna stavu objednávky
- negativní hodnoty
- obcházení limitů
- nesprávná důvěra ve frontend
Basic Security Configuration
Základní kontrola bezpečnostní konfigurace aplikace a veřejně dostupných informací.
- HTTPS
- security headers
- CORS basics
- cookie flags
- veřejně dostupné citlivé soubory
- source maps
- debug informace
- citlivé informace v JavaScriptu
Fix Verification
Ověření, zda byly dříve nahlášené bezpečnostní problémy skutečně opraveny.
- ověření původního nálezu
- kontrola opravy
- základní pokus o jednoduchý bypass
- krátký retest výstup
- stav: opraveno / částečně opraveno / neopraveno
Od konzultace přes potvrzený scope k srozumitelnému výstupu
Každé review začíná pochopením aplikace a končí výstupem, podle kterého se dá rozhodnout a opravit konkrétní problém.
Úvodní konzultace
Krátce pochopíme aplikaci, role, citlivá data, hlavní workflow a očekávání.
Návrh rozsahu
Navrhnu vhodný rozsah podle velikosti aplikace, počtu rolí, funkcí, endpointů a rizikových oblastí.
Scope confirmation
Před testováním písemně potvrdíme, co je v rozsahu, co je mimo rozsah, jaké účty se použijí a jaké akce jsou omezené.
Testování
Provedu cílené bezpečnostní ověření domluvených oblastí pomocí praktických scénářů a manuální analýzy request/response.
Report
Dostanete srozumitelný výstup s nálezy, dopadem, důkazy, prioritou a doporučením oprav.
Volitelný retest
Po opravách lze ověřit, zda byly problémy skutečně odstraněny.
Cena a rozsah se domlouvají individuálně
Cena závisí na rozsahu aplikace, počtu rolí, funkcí, endpointů, složitosti oprávnění a požadované hloubce výstupu.
Menší cílené review je vhodné pro jednu konkrétní funkci nebo podezření. Rozsáhlejší review je vhodné pro SaaS, klientské portály, e-shopy s účty, interní systémy nebo API-driven aplikace.
Finální rozsah a cena se vždy potvrzují před zahájením testování.
Testování se bez předchozí domluvy nerozšiřuje mimo potvrzený scope. Pokud se během mapování ukáže, že aplikace je rozsáhlejší nebo složitější, navrhne se zúžení na nejrizikovější části, rozdělení do fází nebo individuální nacenění.
Co Web Application Security Review nezahrnuje
Web Application Security Review není neomezený full-scope penetrační test celé infrastruktury. Není součástí:
Garance použitelného výstupu
Cílem review není dodat obecný technický dokument, ale praktický výstup, podle kterého se dá rozhodnout a opravit konkrétní problém. Pokud výstup nebude dostatečně srozumitelný nebo prakticky použitelný, doplním ho bez příplatku.
Garance se vztahuje na srozumitelnost a použitelnost výstupu, nikoliv na garanci nalezení zranitelnosti nebo garanci úplného zabezpečení aplikace.
Pro SaaS, klientské portály, e-shopy, interní systémy a API-driven aplikace
Service je vhodná všude, kde uživatelé pracují s objednávkami, fakturami, dokumenty, týmy, organizacemi, profily, tikety nebo administrací.
Vhodné zejména pro aplikace, kde uživatelé pracují s objednávkami, fakturami, dokumenty, tikety nebo osobními údaji.
Ukázka struktury nálezu
Každý nález popisuje, co je špatně, jak to ověřit, jaký to má dopad a jak to opravit.
Název nálezu
Neoprávněný přístup k objednávce jiného uživatele změnou ID v API requestu
Dopad
Běžný uživatel může získat přístup k objednávkám jiných zákazníků, včetně osobních a fakturačních údajů.
Doporučení
Ověřovat vlastnictví objektu na straně serveru u každého požadavku a nespoléhat se pouze na omezení v uživatelském rozhraní.
Má vaše aplikace uživatelské účty, role, objednávky, faktury nebo dokumenty?
Popište mi aplikaci a oblasti, které vás zajímají. Společně potvrdíme vhodný rozsah review.
Testování probíhá pouze na základě výslovného souhlasu a předem schváleného rozsahu.