Web PEN - Penetrationstestning av websiter och webapplikationer
Web PEN - PEN-testing av webapplikationer

Web PEN är en plattform för att PEN-testa webapplikationer utan specialistkompetens.

 

Web PEN gör PEN-testing av webapplikationer mycket enklare, snabbare och billigare.

Web PEN är anpassad för MSP:er eller Web utvecklare som vill hjälpa sina kunder att säkra sina websiter eller webaserade system på ett snabbt, effektivt och billigt sätt.

Automatiserat

Web PEN automatiserar bort väldigt många timmars arbete per testad site.

Men PEN-testning av webapplikationer kan inte automatiseras 100% eftersom det oftast kräver inloggningar till olika delar i systemet. Särskilt när man skall göra Access Control-tester där man loggar in med olika användarnivåer och kontrollerar eventuella dataläckage mellan användare och användarnivåer.

Aktivera konto och (trial) licenser i admin-portalen och mata in aktiva siter

Web PEN admin portal

Du kan välja på MSP / Developer licenser (Siter kan bytas månadsvis) eller slutkundslicenser (Siter kan bytas årsvis)

Installera en Ubuntu server och kör vårt install script som installerar din Web PEN server i docker format

Surfa in till din Web PEN server och välj din målapplikation från listan

Web PEN Target

Du får upp de gratis test siterna och dina aktiva siter från management portalen.

Du får välja hur hur denna skanning skall gå till genom att:

  • Välja max-tid / max-djup
  • Välja antal aktiva trådar
  • Välja aggresivitet på Attack Proxyn. Allt från Safe till full Attack Mode beroende på hu känslig applikationen är.

Öppna en browser kopplad till Attack Proxyn och logga in i webapplikationen du skall testa samt börja surfa runt. Starta sedan Spider, Ajax Spider och Active Scan

Web PEN Skanning

Automatiseringen håller nere arbetstiden för tekniker / web utvecklare

Men Web PEN förenklar PEN-testandet så att personer med generell IT-kunskap kan utföra PEN-tester av webbaserade system på ett enkelt och strukturerat sätt på realtivt kort tid. Att testa säkerhetsrisker tar normalt ca 5-20 minuter av en teknikers arbetstid plus tiden för de olika automatiska skanningarna som kan ta allt från 5 minuter till 12 timmar beroende på websitens komplexitet och storlek. Men scanningarna kan köra i bakgrunden när man gör annat.

Integrerad testapplikationer för att testa och lära sig hantera Web PEN

Communica Vulnerable Web Application

När du kör Web PENs installationsscripet så laddas även OWASP Juice Shop ner som en docker container samt Communica Vulnerable Web Application. Då har du två applikationer som du kan testa hur du bäst kan använda Web PEN.  Communica Vulnerable Web Application är dessutom försedd med olika typer av dataläckage mellan användarnivåer så du kan lära dig Access Control-tester

Rapporter

En av de mer tidskrävande bitarna i ett PEN-testing system kan ofta vara att sammanställa och skriva rapporter till kunden.

Web PENs säkerhettest ger dig fem färdiga rapportfunktioner

  • Ett grafisk interface som presenterar allt för dig som vill dyka in i detaljer om vad felet består av, vilka URL:er det gäller, lösningar och massa länkar till externa sidor som kan vara bra att titta på för mer information om hur man kan avhjälpa de detekterade problemen.
  • En komplett Excel-fil som i detalj presenterar alla problem och läsningar med exempel på URL:er.
  • En teknisk rapport som beskriver problem, lösningar och länkar
  • En Medium-rapport för kunder som beskriver alla hitta problem med detaljer om problemet.
  • En enkel rapport som beskriver vilka typer av problem som har hittas och inom vilken säkerhetsklassning.

Exempel på grafiska interfacet för sårbarheter

Web PEN reports

Detaljerad information om sårbarhet, lösning, attackmetod och bevis på lyckad attack

Web PEN report detailed

Access Control

Access Control är överst på OWASP Top 10-listan över saker man behöver testa i sina webbaserade applikationer.

Web PENs Access Control tester ger dig möjligheten att spela in en kedja av händelser i din browser som en viss inloggad användare och sedan spela upp de händelserna igen fast som en annan användare, en annan användarnivå eller en icke autentiserad användare för att se om du får access till någon information.

Eftersom detta spelas in genom manuell surfning i en riktig browser så får vi med även komplicerade AJAX-baserade funktioner (Javascript) och POST/PUT access.

Under Access Control delen kan du ta rapporter på vilka URL:er som testats och vad systemet svarar.

Access Control spelar in sessions med olika användare

Web PEN access Control recording

Access Control rapportering

Access Control Reporting

Naturligtvis kan du ta ut PDF rapporter att ge till kunden.

Web PEN är skapat för att PEN-testa websiter och webapplikationer till en miminal kostnad jämfört med en manuell PEN testing som kan kosta 100.000-tals kronor per test. Web PEN ger en god indikation på vad man behöver åtgärda för att skydda sina webapplikationer mot olika yttre automatiserade attacker.

Web PEN ger möjligheten att PEN testa webapplikationer för företag som inte kan lägga miljontals kronor per år för att hyra in ett PEN-test team.

I samhällsviktiga system som förmodligen kräver manuell PEN testning så kan Web PEN även användas som automatiserad test mellan manuell PEN-tester för att se om några nya tekniska problem eller angreppsmodeller har hittats. Man kan köra varje månad eller vid varje uppgradering och inte bara vänta på de manuella testerna.

Web PEN kan även användas av PEN-testare för att göra en snabb genomgång innan man djupdyker i mer avancerade tester som kräver manuell testning och en förståelse av webapplikationens uppbyggnad.

Licenser

MSP:er och Webutvecklare

Månadsvis fakturering, URL:er återställs varje månad. 12 mån bindningstid.

  • 5 siter per månad 2500 SEK/månad
  • 10 siter per månad 3500 SEK/månad
  • 15 siter per månad 4800 SEK/månad
  • 20 siter per månad 6000 SEK/månad

Månadsvis fakturering, URL:er återställs varje månad. Ingen bindningstid.

  • 5 siter per månad 3000 SEK/månad
  • 10 siter per månad 4000 SEK/månad
  • 15 siter per månad 5300 SEK/månad
  • 20 siter per månad 6900 SEK/månad

Slutkundslicenser (för kunder som själv vill testa sina siter)

Årvis fakturering. URLs återställs efter 12 månader. Obegränsade tester på dina registrerade URL:er. Kontakta oss för ÅF-priser.

  • 1 site per år 4000 SEK/år
  • 2 siter per år 7000 SEK/år
  • 3 siter per år 10 000 SEK/år
  • 5 siter per år 12 000 SEK/år
  • 10 siter per år 18 000 SEK/år

Är du intresserad av att få en Live demo? Kontakta johan@communica.se
Intresserad av att testa själv gå till webpen.communica.se och skapa ett konto.