Każda aplikacja informatyczna, niezależnie od tego, czy jest to rozwiązanie ogólnodostępne, czy wykorzystywane tylko przez określoną grupę użytkowników, powinna cyklicznie przechodzić testy penetracyjne, czyli badania oceniające poziom bezpieczeństwa danego oprogramowania i podatność na różnego rodzaju zagrożenia cybernetyczne. Takie badanie przeszła ponownie pod koniec ubiegłego roku nasza aplikacja whiblo i możemy się pochwalić, że zdała je celująco!
Badanie bezpieczeństwa aplikacji whiblo przeprowadził SISOFT s.c., zewnętrzna firma wyspecjalizowana w audycie rozwiązań informatycznych. Ocena bezpieczeństwa została zrealizowana w dniach 12-19 października 2022 r. z perspektywy podejścia Graybox z wykorzystaniem danych uwierzytelniających do aplikacji. Badanie pokazuje odporność aplikacji na ataki ze strony nieuprawnionych użytkowników oraz możliwość nadużycia uprawnień i dostępu przez użytkowników do aplikacji. Wszystkie czynności zostały przeprowadzone zgodnie z ogólnie przyjętą metodologią OWASP ASVS 4.0.3 i najlepszymi praktykami.
W dużym skrócie takie testy mają na celu pokazanie czy dana aplikacja posiada jakieś podatności na włamania, czy podatności mogą mieć wpływ na bezpieczeństwo aplikacji, czy są one łatwe do wykorzystania przez atakującego pod względem nakładu czasu i zasobów, oraz czy wykryte podatności są na tyle popularne, że do ich wykorzystania może być użyty ogólnodostępny złośliwy kod, co zwiększa prawdopodobieństwo ataku. Firma oceniała także, czy użytkownik aplikacji może dokonać w niej operacji wykraczających poza posiadany zakres uprawnień.
W ocenie ryzyka aplikacji, przeprowadzonej po ocenie bezpieczeństwa, whiblo uzyskała wynik 0,8. W ramach badania przyjęta jest skala 0-10, gdzie 0 oznacza bardzo niskie ryzyko!