Sygic

Zadanie

Spoločnosť Sygic nás poverila testovaním webovej aplikácie ich produktu Sygic FleetWork, z pohľadu štandardného koncového užívateľa. Testovanie sme sa rozhodli vykonať v plnom rozsahu metodológie OWASP Testing Guide. Metodológia zahŕňa testovanie webovej aplikácie na zraniteľnosti voči širokému spektrum rizík, ktoré by útočníkovi umožnili aplikáciu kompromitovať.

Naše riešenie

Po odsúhlasení si rozsahu a načasovania začali dvaja etickí hackeri z Citadelo systematicky preverovať klientovu aplikáciu – kombináciou automatizovaných nástrojov a manuálneho testovania.

Testovanie odhalilo niekoľko zraniteľností a chýb v logike aplikácie, ktoré by umožnili používateľom získať prístupy a spustiť príkazy nad rámec ich štandardných oprávnení. Niektoré zraniteľnosti neboli samé o sebe kritické, ale vynachádzavý útočníci by boli schopní ich skombinovať a zneužiť.

V podrobnej správe sme nahlásili nájdené zraniteľnosti. Dokument obsahuje netechnické vysvetlenie nájdených nedostatkov, ako aj detailne zdokumentovanú každú nájdenú zraniteľnosť, kroky potrebné na jej reprodukciu a odporúčania, ako ju opraviť.

V dohodnutom termíne sme vykonali opätovné testovanie aplikácie a pôvodne nájdených zraniteľností. Potešilo nás, že Sygic zobrali na vedomie naše odporúčania ako ošetriť nájdené potenciálne chyby.

„Spolupráca s Citadelo bola rýchla a profesionálna. Ich pomoc so zabezpečením aplikácie nám umožňuje sústrediť sa na vývoji nových funkcií. Podrobná prezentácia o zisteniach testovania nám ukázala, ako drobné problémy môžu viesť k vážnym ťažkostiam, a tiež ako sa s nimi vysporiadať aj v našich ďalších aplikáciách.“ Roman Huba, produktový manažér Sygic FleetWork.

Zákazník

Sygic Business Solutions je špecializovaná divízia spoločnosti Sygic, developera najmodernejšej navigačnej aplikácie, ktorej dôveruje viac ako 130 miliónov vodičov na celom svete.

Sygic Business Solutions vyvíja profesionálnu GPS navigáciu s dobre zdokumentovaným SDK pre jednoduchú integráciu do ďalších riešení pre správu mobilnej pracovnej sily. Portfólio zahŕňa vlastný webový systém na správu vozovej flotily a pracovnej sily Workforce Management Sygic FleetWork a ďalšie produkty založené na geolokácii.

Výrobky Sygic využíva viac ako 1500 flotíl v oblasti dopravy, špeditérstva, práce v teréne, automobilového priemyslu, verejných a pohotovostných služieb.

sygic.com/business