OWASP Top 10 sérülékenységvizsgálat és penetrációs teszt
Számos ügyfél azzal keresi fel a Makay Kiberbiztonsági Kft.-t, miszerint OWASP vagy OWASP Top 10 sérülékenységvizsgálatot szeretne végeztetni. Mi biztosan tudjuk, hogy nem ilyet szeretne, de lássuk is, mi a probléma ezekkel a kérésekkel!
A legfőbb probléma talán az, hogy ilyen vizsgálat nincs, vagy ha valaki végez is, nagyon gyorsan le kellene szoknia róla. Az OWASP és az OWASP Top 10 ugyanis sem módszertan, sem követelményrendszer.
Az OWASP® egy non-profit alapítvány, ami a kiberbiztonsági szakmában meghatározó jelentőséggel bír. Számos vizsgálati módszertant és követelményrendszert dolgoztak ki és tartanak folyamatosan karban, tehát láthatjuk, hogy sérülékenységvizsgálatot OWASP-ként definiálni nem igazán lehet.
Hasonló a helyzet az OWASP Top 10-zel is. Ez ugyanis az OWASP® Foundation által összeállított, adatvezérelt lista arról, hogy a kiadását megelőző évben melyek voltak „legfontosabb” sérülékenységtípusok.
- A01:2021-Broken Access Control
- A02:2021-Cryptographic Failures
- A03:2021-Injection
- A04:2021-Insecure Design
- A05:2021-Security Misconfiguration
- A06:2021-Vulnerable and Outdated Components
- A07:2021-Identification and Authentication Failures
- A08:2021-Software and Data Integrity Failures
- A09:2021-Security Logging and Monitoring Failures
- A10:2021-Server-Side Request Forgery
A lista sorrendje az OWASP Top 10 2021-ben az egyes sebezhetőségek jelentőségétől függ, amelyet az alábbi szempontok alapján határoznak meg:
Az adott sebezhetőség kihasználása milyen mértékben teszi lehetővé az adatok, az alkalmazás, vagy a rendszer érzékeny információinak elvesztését, megszerzését vagy módosítását.
Az adott sebezhetőség kihasználása milyen gyakori, mennyire elterjedt és könnyen kihasználható az elkövetők számára.
Az adott sebezhetőség kihasználásának hatásai mennyire súlyosak és milyen hosszú távúak lehetnek, például az üzleti vagy jogi következmények tekintetében.
OWASP Top 10 helyett milyen módszertan, követelményrendszer
A Makay Kiberbiztonsági Kft. szakemberei által végzett vizsgálatok az alábbi módszertanoknak, ajánlásoknak és követelményrendszereknek megfelelően, vagy azokat alapul véve kerülhetnek megvalósításra:
- Web Security Testing Guide – OWASP WSTG
- Mobile Application Security Testing Guide – OWASP MASTG (korábban MSTG)
- Application Security Verification Standard – OWASP ASVS
- Mobile Application Security Verification Standard – OWASP MASVS
- MITRE ATT&CK knowledge base
- The Penetration Testing Execution Standard – PTES
- CIS Benchmarks – CIS
- Open Source Security Testing Methodology Manual – OSSTMM
- Information Systems Security Assessment Framework – ISSAF
- B.A.S.E – A Security Assessment Methodology – SANS
- Technical Guide to Information Security Testing and Assessment (SP800-115) – NIST
- Penetration Testing Guidance – PCI DSS
- The Vulnerability Assessment & Mitigation Methodology – RAND
- Penetration Test Guidance – FedRAMP
- MSZ ISO/IEC 15408 – Magyar Szabványügyi Testület
- TISAX (Trusted Information Security Assessment Exchange) – VDA Information Security Assessment
Sérülékenységvizsgálat szolgáltatás árajánlat
Keresse etikus hacker kollégáinkat az Árajánlat gombbal, és kérjen tájékoztatást az Ön által üzemeltetett rendszerek fenyegetettségéről!