×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

Case Study

Ośrodek Przetwarzania Informacji - Testy Bezpieczeństwa

O kliencie

Ośrodek Przetwarzania Informacji Państwowy Instytut Badawczy to instytucja gromadząca i udostępniająca aktualne, kompleksowe informacje o polskiej nauce oraz tworząca systemy informatyczne wspierające rozwój nauki i szkolnictwa wyższego.

Potrzeba:

Instytucja publiczna nie może pozwolić sobie na wycieki danych wrażliwych, dlatego audytowane systemy musiały być dokładnie zweryfikowane pod kątem błędów. Systemy te współgrają ze sobą, przechowują istotne dane polskiej nauki oraz dane osobowe, a ponieważ działają w środowisku podatnym na ataki hakerskie, musiały przejść odpowiednie testy akceptacyjne.

Ramy projektu:

Zlecono nam przeprowadzenie audytu bezpieczeństwa dla 5 systemów opracowanych przez OPI PIB:

  • Navoica – platforma bezpłatnych kursów wirtualnych
  • POL-on – zintegrowany system informacji o nauce i szkolnictwie wyższym
  • ORPPD – Jednolity System Antyplagiatowy – baza obronionych prac dyplomowych oraz jedna z baz referencyjnych systemu JSA
  • Polska Bibliografia Naukowa – katalog polskich pracowników naukowych
  • Zintegrowany System Usług dla Nauki – Obsługa Strumieni Finansowania – system przeznaczony do rejestrowania i obsługi wniosków o finansowanie nauki składający się z 8 modułów

Przebieg projektu

Zespół

5 specjalistów ds. bezpieczeństwa IT realizujących prace zdalnie z siedziby TestArmy Group SA i częściowo w OPI – PIB.

Czas trwania

23 tygodnie – zakończony 24.05.2019

Wartość

184 500 PLN

Etap 1

Dla każdego z systemów wykonaliśmy testy penetracyjne, w ramach których nasi specjaliści przeprowadzili symulację włamań do systemów oraz sieci metodą black box (bez znajomości kodów źródłowych ani konfiguracji aplikacji) i zidentyfikowali słabe punkty systemu zabezpieczeń.

Wykorzystaliśmy automatyczne i manualne metody prowadzenia audytu aby zbadać systemy pod kątem podatności, takich jak:

  • SQL Injection
  • XML Injection
  • XSS (Cross Site Scripting)
  • CSRF (Cross Site Request Forgery)
  • Code Execution
  • Insecure Communications
  • Source Disclosure
  • Path Traversal
  • DoS (Denial of Service)
  • File Inclusion
  • Bezpieczeństwo mechanizmu SSL serwera web
  • Broken Authentication and Session Management
  • Authorization Bypass
  • Information Leakage
  • Deserialization of untrusted data

Oprócz tego przeprowadziliśmy analizę metod uwierzytelniania i analizę urządzeń zewnętrznych. Do określenia typów ataków posłużyliśmy się najnowszą listą podatności OWASP.

Etap 2

Przeprowadziliśmy szczegółową analizę stosowanych systemów zabezpieczeń metodą white box. Skupiliśmy się na wykorzystanych technologiach, możliwych podatnościach systemów i próbie znalezienia nowszych, bezpieczniejszych rozwiązań teleinformatycznych.

Przeanalizowaliśmy:

  • dokumentację systemów i sieci
  • obszar techniczny systemów i środowiska informatycznego
  • poprawność i kompletność ustanowionych zabezpieczeń
  • skuteczność stosowanych zabezpieczeń
  • systemy informatyczne pod kątem zagrożeń, takich jak ataki sieciowe, zagrożenia transmisji danych, zagrożenia aplikacyjne, zagrożenia komunikacyjne, awarie techniczne, zagrożenia kryptograficzne i błędy ludzkie

 

Przeanalizowaliśmy kod źródłowy i technologie stosowane w poszczególnych systemach, takie jak:

Javascript | MongoDB | Python | Open Edx | Apache Kafka | Java | Spring
KeyCloak Java | Spring Security | LDAP | MySQL | Angular | TypeScript
Lucene | ElasticSearch | Oracle | Oracle Business Intelligence EE
Oracle Data Integrator | Hadoop | Spring Boot | Apache CXF | Java 8
Struts 1.3 + JSP | JSF2/EJB/CDI + PrimeFaces | WildFly 10 | Oracle 12c

 

Ostatnim etapem audytu były testy kontrolne w ramach których sprawdzono poprawność istalacji i konfiguracji odpowiednich systemów teleinformatycznych.

Kontrola objęła:

  • Audyt warstwy sieciowej
  • Audyt warstwy systemów operacyjnych (serwery, macierze, biblioteki)
  • Audyt warstwy bazodanowej
  • Testy penetracyjne wewnątrz, mające na celu zidentyfikowanie możliwości przeprowadzenia włamania wewnątrz siedziby OPIPIB

Rezultaty

Łącznie przetestowaliśmy

  • Prawie 3 tysiące unikalnych podstron/formularzy
  • Ponad 5 milionów linii kodu źródłowego
  • Ponad 160 typów użytkowników o różnych uprawnieniach

W wyniku audytu

  • Pozyskaliśmy informacje na temat istniejących podatności i słabości w obszarze bezpieczeństwa audytowanych systemów teleinformatycznych, sieci i środowiska informatycznego, w którym funkcjonują.
  • Dokonaliśmy wiarygodnej oceny bezpieczeństwa zasobów systemów teleinformatycznych.
  • Dostarczyliśmy klientowi obszerny raport podsumowujący audyt i sugerujący rozwiązania pozwalające podnieść poziom bezpieczeństwa systemów.Na jego podstawie systemy wciąż są zabezpieczane i rozwijane

Potrzebujesz darmowej
wyceny?

Napisz do nas o swoim produkcie,
a my zajmiemy się resztą.

Wyceń projekt