Kontakti Ulaz za stranke
SR
Search
SR
Nazad

Usluge

Pošaljite upit

Sigurnosni pregled aplikacija

Sigurnosni pregled aplikacija namenjen je otkrivanju mogućih sigurnosnih pretnji i manjkavosti pojedinih aplikacija. Kod zlonamernog napada to može omogućiti sprovođenje neovlaštenih promena koje mogu uticati na poverljivost, raspoloživost i celovitost podataka u samoj aplikaciji (npr. neovlašten pristup, menjanje podataka, ne delovanje aplikacije).

U pozadini delovanja aplikacija mogu biti različite tehnologije (internetne, mobilne, klasične). Bez obzira na njihovu vrstu moguće su pretnje na strani:

  • korisnika
  • mreže odnosno transportnog kanala
  • infrastrukture servera

Celovit sigurnosni pregled aplikacija zato se sprovodi u više faza unutar kojih detaljno proučimo arhitekturu aplikacije, elemente i samo delovanje aplikacije.

Tipične manjkavosti aplikacija jesu:

  • pristup podacima bez prijave
  • neodgovarajuće lokalno skladištenje podataka
  • sprovođenje akcija u ime drugog korisnika, kao što je sprovođenje transakcija, uključivanje/isključivanje usluga itd.
  • promena lozinke drugog korisnika i time preuzimanje njegovog korisničkog računa
  • eskalacija privilegija korisničkih prava koja korisniku omogućuje više mogućih aktivnosti, npr. promenu cena itd.
  • pristup podacima odnosno menjanje podataka drugog korisnika

Detaljnim sigurnosnim pregledom, koji uključuje i korisničku prijavu, dobijate nedvoumni odgovor jesu li sigurnosne kontrole u aplikaciji odgovarajuće.

A najdetaljnije sigurnosne nedostatke možemo otkriti pregledom izvornog koda aplikacija, jer su upravo greške u kodiranju primarni izvor problema. Pri tom je važno da izvorni kod provere nezavisni stručnjaci za aplikacijsku sigurnost, koji nisu učestvovali u razvoju aplikacije. Pregled izvornog koda aplikacije sprovodi se u više koraka, pri čemu naručitelj osigura sve raspoložive informacije (princip »bele kutije«). U prvom koraku primeni se namenski programski alat koji prepoznaje sigurnosno problematična mesta u programskom kodu. On se nakon toga ručno detaljno proveri u saradnji s razvojnim stručnjakom programske opreme na strani naručioca te savetnikom za sigurnost i razvojnim specijalistom na strani izvođača. U zadnjem koraku se još penetracijskim testom nedvoumno potvrde utvrđeni sigurnosni nedostaci.

Nazad