Objednali jsme prvni externi penetracni test nasi hlavni webove aplikace. Vysledek: 3 kriticke, 7 vysokych, 12 strednich a 20 nizkych nasledu. Bylo to otreesne, ale nesmirne uzitecne.
Kriticke nalezy¶
SQL injection v jednom legacy modulu (rucne skladany SQL dotaz). Session fixation — session ID se neregenerovalo po prihlaseni. Path traversal — download endpoint umoznoval pristup k libovolnym souborum na serveru. Vsechny tri opraveny do 48 hodin.
Vysoke nalezy¶
XSS ve trech formularich. Chybejici CSRF ochrana na admin rozhrani. Slabe heslo policy (min 6 znaku, zadne pozadavky na slozitost). Information disclosure v chybovych strankach (stack traces). HTTPS s podporou slabych cipher suites.
Remediace¶
Sprint venovany security fixum. Code review vsech databazovych dotazu (hledani string concatenation). Output encoding audit. CSRF tokeny. Password policy update. Custom error stranky. SSL konfigurace hardening.
Lessons learned¶
Security by obscurity nefunguje. Interni code review nestaci — externi pohled je nenahraditelny. Bezpecnost neni jednorazova — planujeme rocni retesty. Kazdy vyvojar proseel OWASP skolenim.
Doporuceni¶
Objednejte penetracni test. Bude to bolestne, ale naucite se vic nez z jakehokoli skoleni. A opravte nalezy — report bez akce je zbytecny.