Lakukan Pengujian Penetrasi Aplikasi
Deskripsi
Lakukan pengujian penetrasi aplikasi. Untuk aplikasi kritis, pengujian penetrasi terotentikasi lebih baik daripada pemindaian yang tidak terotentikasi. Pengujian penetrasi memerlukan keterampilan dan pengalaman khusus dan harus dilakukan melalui pihak yang memenuhi syarat. Pihak yang melakukan pengujian dapat dikelola secara internal oleh perusahaan atau merupakan pihak ketiga eksternal.
Daftar Periksa Implementasi
Rekomendasi Alat
Platform pengujian keamanan berkelanjutan dengan program bug bounty, pentesting terkelola, dan pengungkapan kerentanan
HackerOne · Langganan berbasis program
Platform pengujian keamanan crowdsourced dengan peneliti terverifikasi, pentesting berbasis AI, dan penilaian berkelanjutan
Synack · Langganan berbasis aset
Platform Pentest as a Service dengan pentester terverifikasi, pengujian terprogram, dan manajemen temuan
Cobalt · Langganan berbasis kredit
Platform manajemen permukaan serangan berkelanjutan dan keamanan ofensif yang menggabungkan pemindaian otomatis dengan pentesting yang dipimpin ahli
Bishop Fox · Langganan perusahaan
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Kerentanan Logika Bisnis Dieksploitasi dalam Aplikasi Produksi
ConfidentialityPenyerang menemukan dan mengeksploitasi kelemahan logika bisnis kompleks yang tidak dapat dideteksi alat pemindaian otomatis, berhasil karena tidak ada penguji penetrasi terampil yang secara manual menguji alur logika aplikasi.
Kerentanan Berantai yang Mengarah ke Kompromi Aplikasi Penuh
IntegrityPenyerang merangkai beberapa temuan keparahan rendah menjadi jalur eksploit kritis yang dievaluasi alat otomatis secara individual, tetapi hanya penguji penetrasi terampil yang akan mengidentifikasi rantai serangan gabungan.
Jalur Serangan Terautentikasi Terlewat oleh Pemindaian Tidak Terautentikasi
ConfidentialityKerentanan kritis yang hanya dapat diakses pengguna yang terautentikasi tetap tidak ditemukan karena tidak ada pengujian penetrasi terautentikasi yang dilakukan untuk mengevaluasi permukaan serangan pasca-login.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Pengujian Penetrasi Aplikasi Manual
Tanpa pengujian penetrasi aplikasi oleh penguji terampil, kelemahan logika bisnis kompleks, kerentanan berantai, dan jalur serangan terautentikasi yang dilewatkan alat otomatis tetap tidak ditemukan di produksi.
Pengujian Otomatis Saja Memberikan Cakupan yang Tidak Lengkap
Mengandalkan hanya pada pemindaian otomatis tanpa pengujian penetrasi manual menciptakan titik buta di area yang memerlukan penilaian manusia seperti logika otorisasi, manipulasi alur kerja, dan kondisi balapan.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |