跨国零售链的Web应用渗透测试

跨国零售链的Web应用渗透测试

行业
零售
技术领域
渗透测试,信息安全

顾客

客户是跨国零售链,在欧洲,亚洲,非洲和拉丁美洲的30多个国家/地区设有12,000多家商店。客户专注于通过大卖场,超市,便利店,现金提供的多格式和多渠道服务&开设商店,以及通过电子商务和移动电子商务。截至2015年,该零售商的收入超过1000亿欧元。

挑战

客户正计划启动多个Web应用程序,以改善区域分支机构之一的数字客户体验。由于新应用程序应该处理客户的个人信息,因此客户决定去 通过渗透测试 以便在将应用程序投放市场之前评估其安全级别。

在分析公司Web资源安全性方面经验丰富的ScienceSoft渗透测试人员接受了挑战。为了提供现有漏洞的完整列表,ScienceSoft提供了不仅针对最初请求的Web应用程序而且还针对与这些应用程序交互的网站执行渗透测试,以查看潜在的入侵者是否可以访问客户的网络。

ScienceSoft的团队根据黑盒模型执行了安全检查,该模型要求测试人员仅通过Internet访问即可模拟对客户网络的入侵,并且无需使用社会工程手段即可进行技术攻击。

依靠OWASP TOP 10方法论,其中包括 Web应用程序中最危险的安全漏洞,我们的渗透测试人员检查客户的Web应用程序和网站是否可以抵抗SQL注入,身份验证或会话管理功能是否存在漏洞,并评估是否有可能访问客户的敏感数据或该数据的任何备份。

主要的关注点是针对跨站点脚本(XSS)的Web资源保护,窃取用户帐户的可能性以及存在可能导致敏感数据泄漏的安全性错误配置。 ScienceSoft还研究了以下可能性:

  • Bruteforce管理员或用户帐户凭据 
  • 窃取用户Cookie并将用户重定向到包含恶意软件的其他网站
  • 应用点击劫持(试图诱使网络用户点击不同于他们认为的点击内容的东西)
  • 进行中间人攻击(攻击者秘密地拦截并中继认为彼此直接通信的两方之间的消息)
  • 使用DNS服务器进行DDoS攻击

总体而言,经过测试的Web资源显示出很高的防护级别,可抵抗各种复杂的攻击。但是,ScienceSoft透露了许多漏洞,如果这些漏洞被一起利用,则可能使黑客获得对系统的控制。完成测试后,ScienceSoft准备了有关修补这些漏洞并降低实际入侵风险的最佳方法的建议列表。

结果

进行的渗透测试使客户可以详细了解其Web资源中的现有漏洞,这些漏洞可能会吸引潜在的旨在窃取敏感数据或损害公司网络的黑客。由于ScienceSoft专家提供的建议,客户现在可以改善其Web应用程序的保护并启动新的安全服务。

技术与工具

w3af,metasploit,BurpSuite,Qualys在线扫描仪,web-sniffer.net,基于OWASP TOP10方法的手动测试。

致电给我们,我们的代表将在30分钟内与您联系以安排初步讨论。