We are reliable, trustworthy, and ready for challenges! Hire Us
FAQ
Co to jest pentest?
Pentest, czyli test penetracyjny, to kontrolowana próba przełamania zabezpieczeń aplikacji, systemu, strony internetowej lub infrastruktury sieciowej. Metody stosowane przez pentestera są dokładnie takie same, jak te używane przez prawdziwych cyberprzestępców. Celem testu penetracyjnego jest zidentyfikowanie i znalezienie wszelkich luk w zabezpieczeniach w celu udzielenia zaleceń dotyczących ich załatania.
Co to jest pentest typu black box?
Pentest typu black box to test penetracyjny, w którym atakujący nie posiada żadnych informacji o systemie, poza danymi dotyczącymi przedmiotu testu, które w wielu przypadkach ograniczają się jedynie do adresu zaatakowanej strony internetowej. Celem testu black box jest sprawdzenie, czy system jest podatny na potencjalne naruszenia bezpieczeństwa z zewnątrz. Jest to najszybszy i najskuteczniejszy sposób oceny bezpieczeństwa systemu. Jakość testu zależy bezpośrednio od kompetencji i umiejętności testera – jego doświadczenia, ekspertyzy, zdolności do myślenia nieszablonowego oraz narzędzi, które mogą być użyte do znalezienia i wykorzystania luk w zabezpieczeniach.
Co to jest pentest typu white box?
Pentest typu white box (czasami nazywany również clear-box lub open-box) to test penetracyjny, w którym atakujący ma pełną wiedzę o systemie, w tym o jego kodzie źródłowym. Ten typ testów wiąże się z dokładną analizą ogromnych ilości danych. Celem takiego testu jest wykrycie błędów konfiguracji oraz luk wynikających z błędów w kodzie źródłowym i działaniu aplikacji. Jest to najbardziej czasochłonna forma testów penetracyjnych, ale jednocześnie dostarcza bardzo konkretnych informacji o lukach w zabezpieczeniach, które mogłyby zostać niezauważone, gdyby zastosowano inny model.
Co to jest pentest typu grey box?
Pentest typu grey box to połączenie dwóch opisanych powyżej modeli. Tester otrzymuje podstawowe informacje o badanym środowisku, w tym jego architekturze. Atakujący może również posiadać aktywne konto w systemie. Celem testu jest symulacja ataku przeprowadzonego od wewnątrz przez intruza – na przykład aktualnego lub byłego pracownika. Mając pewne informacje na początku ataku, pentester może skupić się na testowaniu bezpieczeństwa różnych obszarów – systemów, baz danych, aplikacji – które mają największą wartość dla klienta.
Co to jest OWASP?
OWASP, czyli Open Web Application Security Project, to internetowa społeczność poświęcona zagadnieniom bezpieczeństwa aplikacji webowych. Do ich projektów należy m.in. lista OWASP Top 10 – rankingi najczęstszych kategorii luk w zabezpieczeniach aplikacji webowych i mobilnych, urządzeń Internetu Rzeczy (IoT) oraz aplikacji bezserwerowych.
Co to jest Capture The Flag?
Capture The Flag (CTF) to ogólna nazwa turniejów dla ekspertów, którzy specjalizują się w tworzeniu systemów zabezpieczeń i ich łamaniu. Flaga w tym przypadku to nic innego jak fragment kodu, który trzeba znaleźć, na przykład w bazie danych, obrazie dysku, nagraniu audio lub kodzie źródłowym aplikacji. Wykonanie tego zadania wymaga przełamania wszystkich środków zabezpieczających, które stoją na drodze.
Co to jest łatka oprogramowania?
Łatki oprogramowania to poprawki dla błędów, które zostały odkryte po wypuszczeniu aplikacji na rynek. Nazwa pochodzi od fragmentów kodu, które są używane do załatania luk w zabezpieczeniach systemu. Łatki mogą również poprawiać wydajność lub rozszerzać zestaw funkcji oprogramowania.
Co to jest złośliwe oprogramowanie?
Złośliwe oprogramowanie (malware) to ogólny termin określający wszelkiego rodzaju szkodliwe oprogramowanie. Malware jest wykorzystywane przez cyberprzestępców do blokowania lub przejmowania kontroli nad urządzeniem, a także do kradzieży i niszczenia danych. Malware to zbiorczy termin obejmujący wiele typów złośliwego oprogramowania, w tym niektóre z najbardziej znanych kategorii – robaki, trojany i oprogramowanie szpiegujące.
SQL Injection
Atak wykorzystujący fragment kodu, który jest dołączany do zapytania do bazy danych. Atak SQL Injection jest możliwy z powodu nieoczyszczonych danych wejściowych aplikacji. Celem takiego ataku jest uzyskanie odpowiedzi, która nie była zamierzona przez dewelopera, na przykład zdobycie nieautoryzowanego dostępu do danych osobowych.
Obawiasz się, że Twoje dane są niewystarczająco zabezpieczone?
Razem poszukamy najlepszego rozwiązania tych problemów.