V digitalno povezanem svetu postaja kibernetska varnost ena ključnih vrednot vsakega podjetja, ki upravlja z informacijami, spletnimi storitvami in podatki svojih uporabnikov. Zavedamo se, da je zaupanje naših strank mogoče ohraniti le z odgovornim ravnanjem z informacijami in stalnim preverjanjem varnosti naših sistemov.

Zato smo pri strokovnjakih za kibernetsko varnost v podjetju Nevromantik naročili zunanji varnostni pregled vseh naših spletnih storitev. Pregled je bil osredotočen na identifikacijo varnostnih ranljivosti, ki bi lahko ogrozile zaupnost, celovitost ali razpoložljivost informacijskih sistemov podjetja ter s tem vplivale na poslovanje. Takšen pregled pomaga odkriti morebitne ranljivosti, še preden bi jih lahko kdo zlorabil, in s tem povečuje varnost sistemov in podatkov.

Pregled je zajemal testiranje dostopnih spletnih storitev, preverjanje konfiguracij, nadzora dostopa in šifriranja, pa tudi varnostne politike zalednih sistemov.

Izvedene aktivnosti:

Avtentikacija in avtorizacija

  • Testiranje sejnih žetonov (angl. Session Tokens) – ali so pravilno zaščiteni in niso predvidljivi.
  • Preverjanje t. i. » Session Fixation« ranljivosti – ali se seje ob odjavi ustrezno prekinejo in te potečejo.
  • Preverjanje eskalacije privilegijev t. i. »Privilege Escalation« (dvig pravic uporabnikov).
  • Izpostavljen skrbniški prijavni vmesnik.

Shranjevanje in prenos podatkov

  • Uporaba nezaščitenega protokola HTTP.
  • Preverjanje uporabe šifriranih protokolov za prenos (HTTPS, SFTP, TLS 1.2+).
  • Analiza TLS certifikatov (veljavnost, konfiguracija, uporaba varnih šifrirnih nizov).

Aplikacijska logika

  • Testiranje logičnih napak.
  • Preizkus t. i. »Mass Assignment« ranljivosti (npr. ko aplikacija sprejme več parametrov, kot bi smela).
  • Možnost spremembe nespremenljivih uporabniških nastavitev.
  • Ponarejanje spletnih zahtev (t.i. »CSRF«).

Konfiguracija sistemov in storitev

  • Preverjanje privzetih gesel pri storitvah in napravah.
  • Identifikacija nezaščitenih API-jev.
  • Preverjanje, ali je onemogočen izpis vsebine map na strežniku t. i. »Directory Listing«.
  • Preverjanje prisotnosti ranljivih ali zastarelih komponent t. i. »Vulnerable & Outdated Components«.

Kakovost kode in napadi z vrivanjem zlonamernih ukazov

  • Vrivanje SQL stavkov (t.i. »SQL Injection«).
  • Vrivanje skriptne kode (t.i. »Reflected XSS«).
  • Vrivanje skriptne kode (t.i. »Stored XSS«).
  • Vrivanje HTML-kode.
  • Preverjanje za možnost vrivanja sistemskih ukazov t. i. »Command Injection«.

Omrežni in infrastrukturni testi:

  • Možnost ponarejanja strežniških zahtev (t.i. »SSRF«).
  • Preverjanje odprtih vrat in odkritih storitev.
  • Testiranje ranljivosti na znane ranljivosti v nameščeni infrastrukturi.
  • Preverjanje nezaščitenih baz podatkov (npr. PostgreSQL).

Na podlagi rezultatov smo izvedli različne popravke in dodatne izboljšave, ki še naprej zagotavljajo visoko raven zaščite podatkov in zanesljivo delovanje naših storitev.

Varnost ni enkraten dogodek, ampak neprekinjen proces, zato bomo varnostne preglede redno izvajali tudi v bodoče.

By Published On: 29. oktobra, 2025Categories: GEO-PORTALTags: ,