บริการ Penetration Testing สำหรับเว็บแอปพลิเคชัน
บริการ Web Application Penetration Testing ที่ได้รับการรับรองจาก CREST โดยเน้น Manual Testing เชิงลึกเกินกว่าการสแกนอัตโนมัติ และเชื่อมโยงกับ OWASP WSTG และ OWASP Top 10
เว็บแอปพลิเคชันคือประตูหน้าขององค์กรยุคใหม่ และเป็นหนึ่งในพื้นที่ที่ถูกโจมตีอย่างต่อเนื่องที่สุด เหตุการณ์ละเมิดความปลอดภัยจำนวนมากในช่วงทศวรรษที่ผ่านมามีเว็บแอปพลิเคชันเป็นหนึ่งในขั้นตอนของการโจมตี Manual Web Penetration Testing คือวิธีค้นหากลุ่มช่องโหว่ที่เครื่องมือสแกนไม่สามารถตรวจพบได้อย่างน่าเชื่อถือ
โครงการทดสอบ Web Application ของ Vantage Point รวมการสแกนอัตโนมัติเพื่อความครอบคลุมกับ Manual Testing เชิงลึกสำหรับช่องโหว่ Business Logic รวมถึงปัญหาการกำหนดสิทธิ์ (Authorisation) และช่องโหว่ที่เชื่อมโยงกันซึ่งเครื่องมือสแกนมักระบุไม่ได้อย่างแม่นยำ ทุกโครงการดำเนินตาม OWASP WSTG โดยเชื่อมโยงกับ OWASP Top 10 และ ASVS ในกรณีที่ต้องใช้หลักฐานระดับ Verification
ช่องโหว่ที่พบจะถูก Reproduce พร้อมหลักฐาน Request/Response, Payload และภาพหน้าจอ เพื่อให้ทีม Engineering แก้ไขได้โดยไม่ต้องค้นหาปัญหาใหม่ และให้ทีม Audit ตรวจสอบได้โดยไม่ต้องทดสอบซ้ำทั้งหมด
ความเสี่ยงที่ต้องพิจารณา
เว็บคือจุดเริ่มต้นของการโจมตีจำนวนมาก
ช่องโหว่ของแอปพลิเคชันเว็บปรากฏในสัดส่วนที่มากที่สุดของรายงานการละเมิดข้อมูลที่เปิดเผยต่อสาธารณะ การควบคุมความปลอดภัยของเครือข่ายโดยกว้างไม่สามารถชดเชยความเสี่ยงของ Application Endpoint ที่เปิดเผยอยู่ได้
เครื่องมือสแกนไม่สามารถค้นหาช่องโหว่การกำหนดสิทธิ์ได้อย่างน่าเชื่อถือ
IDOR, Broken Access Control และการใช้หลาย Role ในทางที่ผิด เป็นช่องโหว่ที่มีผลกระทบสูงและพบได้บ่อยในโครงการจริง แต่เครื่องมืออัตโนมัติไม่สามารถตรวจพบได้อย่างสม่ำเสมอ
หลักฐานตาม PCI DSS และ ASVS มีความจำเป็นมากขึ้น
หน่วยงานกำกับดูแล ธนาคาร และลูกค้าองค์กรขนาดใหญ่ต่างร้องขอหลักฐานการทดสอบเว็บที่สอดคล้องกับ OWASP เป็นส่วนหนึ่งของกระบวนการรับผู้ให้บริการและรอบการตรวจสอบ
สิ่งที่เราทดสอบ
กลุ่มช่องโหว่ที่พบบ่อย
การทดสอบครอบคลุม OWASP Top 10 และชุดขั้นตอนการทดสอบทั้งหมดของ OWASP WSTG
- SQL, NoSQL, Command และ Template Injection
- Cross-Site Scripting (XSS) — Stored, Reflected, DOM
- CSRF และ SSRF
- XML External Entity (XXE)
- Insecure Deserialisation
- Server-Side Request Forgery
Logic, Access และ Configuration
กลุ่มช่องโหว่ที่มักสร้างผลลัพธ์สำคัญที่สุดในโครงการจริง และเป็นจุดที่ Manual Testing มีบทบาทสำคัญ
- การยืนยันตัวตนและการจัดการ Session
- การกำหนดสิทธิ์ การบังคับใช้ Role และ IDOR
- การโจมตี Business Logic และ Workflow
- Input Validation และ Output Encoding
- การจัดการ Cryptography และข้อมูลขณะจัดเก็บ (Data-at-Rest)
- Configuration Management
ช่องโหว่ที่เรามักพบจากการทดสอบในลักษณะนี้
ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร
ช่องโหว่ใน Access Control
IDOR บนทรัพยากรที่จำกัดต่อ Tenant, การไม่มี Authorisation บน Internal API Endpoint ที่เข้าถึงได้จาก Front-End และฟังก์ชัน Admin ที่ผู้ใช้ทั่วไปเข้าถึงได้ผ่านการแก้ไข URL
ช่องโหว่ในการยืนยันตัวตน (Authentication)
การคาดเดาชื่อผู้ใช้ผ่านระยะเวลาการตอบกลับหรือข้อความ Error, การ Reset รหัสผ่านที่ไม่ปลอดภัย, Session Token ที่คาดเดาได้, และการ Bypass MFA ใน Legacy Flow
Injection
SQL Injection ใน Legacy Reporting Endpoint, SSRF ในฟีเจอร์ที่ดึง URL ไปถึง Cloud Metadata, Server-Side Template Injection ใน Admin UI
XSS
Stored XSS ใน User-Content Field, DOM-Based XSS ใน Client-Side Routing, Reflected XSS ที่เข้าถึงได้ผ่าน document.location
การเปิดเผย Sensitive Data
PII ใน Error Message, Secret ใน JavaScript Bundle, ชื่อ Internal Host รั่วไหลใน HTTP Response และ Account Object เต็มที่ส่งกลับไปยัง UI ที่ต้องการเพียงชื่อเท่านั้น
การกำหนด Security Headers / Cookies ผิดพลาด
ไม่มี HSTS, CSP ที่อ่อนแอ, Cookie ที่ไม่มี HttpOnly หรือ Secure, SameSite ยังตั้งเป็น None บน Session Cookie
แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ
ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม
การกำหนดขอบเขต
กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย
การดำเนินการ
การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน
การตรวจสอบความถูกต้อง
ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล
การรายงาน
รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข
สรุปผลและการทดสอบซ้ำ
การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข
อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ
คำถามจากผู้สนใจใช้บริการ
บัญชีทดสอบ ใครเป็นผู้จัดเตรียม? +
โดยปกติคือลูกค้าเป็นผู้จัดเตรียม เราทดสอบภายใต้ Role ที่เป็นตัวแทนของการใช้งานจริง อย่างน้อยที่สุดคือ Standard User และ Administrator เพื่อให้การประเมินการบังคับใช้ Authorisation เป็นไปอย่างถูกต้อง
การ Scan จะกระทบต่อประสิทธิภาพของแอปพลิเคชันหรือไม่? +
เราปรับความรุนเเรงของการ Scan ให้เหมาะกับสภาพแวดล้อมขององค์กรคุณ สำหรับ Production Environment ที่มีความละเอียดอ่อน เราจะปรับลดความรุนเเรงและไม่รวม Endpoint ที่รับเเจ้งว่ามีความเปราะบาง เเต่สำหรับ Staging เราจะรุกล้ำมากขึ้น
รองรับ GraphQL และ API รูปแบบใหม่หรือไม่? +
เรารองรับ GraphQL, gRPC และ Backend แบบ Message-Driven ซึ่งมี Test Case เฉพาะ รวมถึง Introspection, การ Bypass Depth Limit และ Broken Object-Level Authorisation
บริการนี้แตกต่างจากบริการ Penetration Testing API ขององค์กรคุณอย่างไร? +
การทดสอบ Web Application มุ่งเน้นที่แอปพลิเคชันที่ผู้ใช้เข้าถึงผ่าน Browser ส่วนการทดสอบ API มุ่งเน้นที่ Service Contract ภายใต้แอปพลิเคชัน หลายโครงการเลือกทดสอบทั้งสองส่วนพร้อมกัน เนื่องจากการโจมตีในโลกจริงครอบคลุมทั้งสองส่วน
ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก
ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน