← All insights
Case Study · VAPT

FÖREBYGGA WEBB-/TILLÄMPNINGSATTACKER GENOM SÄKERHETSREVISIONER

success story img detail10

KUNDÖVERSIKT

Ledande onlineåterförsäljare med en stor varumärkesportfölj.

PROJEKTUTMANINGAR

  • Företaget ville testa hela webbplatsen med avseende på tekniska och designmässiga brister som kan leda till att hackare genomför oetiska transaktioner. De har också begärt skydd av webbplatsen mot webbattacker som XSS, CSRF, SQL Injection etc.
  • Det viktigaste för företaget är att säkerställa att webbportalen är säker för kundtransaktioner och delning av personuppgifter.

LÖSNINGAR

  • Vi har utfört sårbarhetstester av sidor på webbplatsen och i olika kategorier baserat på standarderna OWASP och MITRE.
  • Vi har genomfört revisioner av statisk och dynamisk källkod för att uppnå säkerhetsstandarderna.
  • Funktionell mappning av sidorna på webbplatsen med URL:er och tillhörande parametrar.
  • Testning av specialfall för manipuleringsattacker i betalflödet.
  • Utfört sårbarhetsbedömningar av alla webbsidor med avseende på felaktiga säkerhetskonfigurationer.
  • Domänbaserad testning av behörighetsupptrappning – tester av obehörig åtkomst till premiumkonton med hjälp av sessionsloggar och ID:n.
  • Utfört buffertöverfyllningsattacker som omfattar sårbarheter vid serverstörningar och programmens reaktionsförmåga.
  • Verifierat status vid injektionsattacker – injektion av teknikbaserade skript/filer i URL:er och sökfält.
  • Utfört penetrationstester med proxytekniker för att manipulera parametervärden/manipulera driftdata.
  • Genomfört granskning av källkod för att uppnå efterlevnad av säkerhetsstandarderna.

FÖRETAGSFÖRDELAR

  • Vi har förebyggt de tio viktigaste säkerhetsriskerna enligt OWASP Top 10 samt domänbaserade sårbarheter med hjälp av säkerhetstestning.
  • Vi har tillhandahållit en detaljerad rapport om säkerhetsbuggar för att undvika falska positiva och för att minimera säkerhetsriskerna.
  • Vi har rekommenderat olika lösningar för att bekämpa webbkodinjektioner (cross site scripting) och förfalskningsattacker (forgery attacks).