Bezpieczeńtwo serwisów internetowych

Bezpieczeńtwo serwisów internetowych

Celem takiego audytu kodów źródłowych jest sprawdzenie czy rozwiązanie wykorzystuje dobre praktyki i standardy przyjęte w obrocie profesjonalnym, akceptowane i przyjęte przez środowiska tworzące podobne rozwiązania zarówno w zakresie aplikacji wewnętrznych jak i ogólnie dostępnych serwisów internetowcyh.

Podczas audytu szukamy potencjalnych źródeł problemów min. w poniższych obszarach:

  • uwierzytelnianie,
  • autoryzacja,
  • zarządzanie sesją użytkownika,
  • cross-site request forgery,
  • sql injection,
  • zarządzanie użytkownikami oraz ich hasłami,
  • ochrona danych osobowych (np. list subskrybentów),
  • bezpieczeństwo panelu administracyjnego,
  • poka-yoke (zabezpieczenia przed problemami wynikającymi z pomyłek)

Powyższe obszary i potencjalne problemy w nich występujące, są znane profesjonalistom i są dobrze udokumentowane w fachowych artykułach dot. tworzenia orpgrowamowania i rozwiązań internetowych, a w stopniu ogólnym ich oipis jest dostępny na Wikipedii.

W wyniku audytu przygotowujemy raport który zawiera:

  • opis ryzyka związanego z niewłaściwym przygotowaniem rozwiązania w zakresie wymienionych obszarów;
  • informacje o wszystkich miejscach, które przeszły audyt z wynikiem negatywnym;
  • informacje o wybranych i istotnych miejscach, które przeszły audyt z wynikiem pozytywnym; oraz
  • wnioski płynące z oceny.

Proces audytu polega na przeglądzie kodu. Ocena poprawności, oraz stopnia zgodności ze standardami i praktykami jest subiektywna, podparta naszym 10 letnim doświadczeniem w budowie systemów informatycznych w różnych technologiach. W wyniku przeprowadzonego przeglądu kodu oceniamy bezpieczeństwo opeogramowanie czy serwisu internetowego w stopniu ogólnym z zaleceniem do wdrożenia lub do naprawy wad. Wymieniamy ew. zastrzerzenia oraz ich wpływ na bezpieczeńśtwo wdrożonego oprogramowania czy uruchomionego serwisu.