Navigator to narzędzie umożliwiające przeprowadzenie dynamicznych testów bezpieczeństwa aplikacji webowych w zakresie OWASP Top 10.
Do działania wykorzystuje zaawansowaną sztuczną inteligencję, dzięki czemu zapewnia dokładne wyniki, znacznie redukując koszty i czas.
Navigator wykorzystuje najnowsze modele duże modele językowe AI (LLM) w połączeniu z klasycznymi algorytmami i bibliotekami wspierającymi testy bezpieczeństwa.
Oparcie o architekturę wieloagentową umożliwia przeanalizowanie każdej potencjalnej podatności, przeprowadzenie złożonego rozumowania i podjęcia decyzji o dalszych krokach w zależności od przypadku. Jest to nieosiągalne dla tradycyjnych automatycznych skanerów.
Dzięki tym przewagom technologicznym Navigator może analizować również dokumentację techniczną testowanej aplikacji oraz podejście organizacji do testów bezpieczeństwa.
Navigator znacznie redukuje koszty zarówno porównując go z innymi automatycznymi lub półautomatycznymi rozwiązaniami jak i klasycznie przeprowadzanymi testami bezpieczeństwa.
Technologia napędzana sztuczną inteligencją pozwala na otrzymanie szybkich wyników przy pełnym pokryciu najczęściej występujących podatności definiowanych przez standard OWASP Top 10.
Narzędzie nie wymaga specjalnych kompetencji i wiedzy z zakresu bezpieczeństwa. Można z włączyć go w procesy wytwarzania oprogramowania niemal natychmiast.
Pierwszym krokiem po rejestracji i zalogowaniu jest zdefiniowanie nazwy i domeny aplikacji webowej. Aby potwierdzić domenę dodaj odpowiednie wpisy do jej strefy DNS.
Testowany zakres możesz ustalać zgodnie z podziałem na kryteria przyjętym w raporcie OWASP Top 10.
Niektóre testy wymagają pracy narzędzia w kontekście użytkownika. W tym celu wykorzystane zostaną podane dane użytkownika testowego.
Aby rozpocząć testy wykup odpowiedni pakiet NAVI-tokenów. Obsługujemy wiele metod płatności w tym karty płatnicze oraz BLIK.
Agent AI przeprowadzi Cię przez cały proces. Będzie informował o różnych aspektach testów i poprosi o dodatkowe dane, jeśli będą one niezbędne.
Niektóre kryteria OWASP Top 10 wymagają przeanalizowania dokumentacji systemowej zawierającej informacje o architekturze czy różnych konfiguracjach.
W zależności od złożoności aplikacji i wybranego zakresu, testy mogą potrwać od kilku minut do kilku godzin. Wykryte podatności listowane są na bieżąco.
Po zakończeniu testów możesz przejrzeć znalezione podatności lub wygenerować raport w formie pliku PDF. Podatności są klarownie opisane i podzielone ze względu na ich krytyczność.
W przypadku wątpliwości wyniki raportu i każdą pojedynczą podatność możesz omówić z agentem AI. Dzięki temu uzyskasz szczegółowe informacji m.in. o proponowanych sposobach mitygacji.
Po wprowadzeniu poprawek, w prosty sposób możesz wykonać retesty i upewnić się, czy podatności z poszczególnych kategorii OWASP Top 10 zostały wyeliminowane.
Przesłane pliki są wykorzystywane wyłącznie w celu przeprowadzania testów bezpieczeństwa i usuwane po ich zakończeniu.
Zaimplementowane modele AI nie używają podanych danych ani plików do doskonalenia swojego działania.
Navigator został zaprojektowany i wykonany zgodnie z rygorystycznymi wymogami bezpieczeństwa.
Narzędzie nie potrzebuje dostępów do produkcyjnych elementów infrastruktury czy baz danych.
Elastyczność wyboru zakresu testów i rozmowa z agentem AI umożliwia pomijanie najbardziej wrażliwych danych.
W szczególnych przypadkach poufność przekazywanych danych może być potwierdzona dodatkową umową.
OWASP Top 10 to raport dziesięciu najpoważniejszych zagrożeń bezpieczeństwa aplikacji internetowych, opracowane przez organizację OWASP (Open Worldwide Application Security Project). Jego celem jest zwiększenie świadomości wśród programistów, architektów i menedżerów IT oraz pomoc w tworzeniu bezpieczniejszego oprogramowania. OWASP Top 10 służy także jako punkt odniesienia w audytach i testach bezpieczeństwa aplikacji.
OWASP Top 10 (w wersji z 2021 roku) obejmuje następujące kategorie podatności:
– Broken Access Control – niewłaściwe egzekwowanie kontroli dostępu, co umożliwia nieautoryzowany dostęp do danych lub funkcji.
– Cryptographic Failures – błędy związane z niewłaściwym użyciem mechanizmów kryptograficznych, np. brak szyfrowania danych.
– Injection – wstrzykiwanie złośliwego kodu (np. SQL, NoSQL, OS Command), który wykonuje się po stronie serwera.
– Insecure Design – projektowanie aplikacji bez uwzględnienia zasad bezpieczeństwa, co prowadzi do luk już na etapie architektury.
– Security Misconfiguration – błędna konfiguracja serwerów, usług lub aplikacji, np. domyślne hasła, niepotrzebne usługi, brak nagłówków bezpieczeństwa.
– Vulnerable and Outdated Components – użycie komponentów (np. bibliotek) z poznanymi podatnościami lub bez aktualizacji.
– Identification and Authentication Failures – błędy w procesie logowania, uwierzytelniania lub zarządzania sesją.
– Software and Data Integrity Failures – brak weryfikacji integralności kodu i danych, np. brak podpisów cyfrowych lub aktualizacji z niezaufanych źródeł.
– Security Logging and Monitoring Failures – brak odpowiedniego logowania i monitoringu, co utrudnia wykrycie i reakcję na incydenty.
– Server-Side Request Forgery (SSRF) – atak, w którym serwer aplikacji zostaje zmanipulowany, by wykonać żądanie HTTP do wewnętrznych zasobów.
Odezwij się do nas. Odpowiemy możliwie szybko!
Aktywnie uczestniczymy w transformacji cyfrowej Polski. Wykorzystując bogate doświadczenie, tworzymy i wdrażamy rozwiązania, które stanowią fundament cyfryzacji.
Dostarczamy niezawodne i bezpieczne technologie dla firm oraz instytucji sektora publicznego, umożliwiając im efektywne działanie w dynamicznym środowisku cyfrowym.
Bezpieczeństwo danych i systemów naszych klientów jest dla nas priorytetem. Dzięki temu klienci mogą skupić się na rozwoju swojej działalności, mając pewność, że ich zasoby cyfrowe są w pełni chronione.
Jeśli masz pytania, odezwij się do nas.
Odpowiemy możliwie szybko!
Dyrektor Operacyjny ds. IT
ul. Okopowa 47/23
01-059 Warszawa
Jeśli masz pytania, odezwij się do nas. Odpowiemy możliwie szybko!
Polityka Prywatności
Kliknij tutaj w celu zapoznania się z polityką prywatności Sedivio SA.
ul. Rektorska 4 lok. 2.22
00-614 Warszawa
Tel: +48 226022530
E-mail: office@sedivio.com
NIP: 521-34-10-954