sygic-citadelo

Zadání

Společnost Sygic nás pověřila testováním webové aplikace jejich produktu Sygic FleetWork, z pohledu standardního koncového uživatele. Testování jsme se rozhodli provést v plném rozsahu metodologie OWASP Testing Guide. Metodologie zahrnuje testování webové aplikace na zranitelnosti vůči širokému spektru rizik, které by útočníkovi umožnilo aplikaci kompromitovat.

Naše řešeni

Po odsouhlasení rozsahu a načasování začali dva etičtí hackeři z Citadelo systematicky prověřovat klientovu aplikaci - kombinací automatizovaných nástrojů a manuálního testování.

Testování odhalilo několik zranitelností a chyb v logice aplikace, které by umožnily uživatelům získat přístupy a spustit příkazy nad rámec jejich standardních oprávnění. Některé zranitelnosti nebyly samy o sobě kritické, ale vynalézaví útočníci by byli schopni je zkombinovat a zneužít.

V podrobné zprávě jsme nahlásili nalezené zranitelnosti. Dokument obsahuje netechnické vysvětlení nalezených nedostatků, jakož i detailně zdokumentovanou každou nalezenou zranitelnost, kroky potřebné k její reprodukci a doporučení, jak ji opravit.

V dohodnutém termínu jsme provedli opětovné testování aplikace původně nalezených zranitelností. Potěšilo nás, že Sygic vzali na vědomí naše doporučení, jak ošetřit nalezené potenciální chyby. “Spolupráce s Citadelo byla rychlá a profesionální. Jejich pomoc se zabezpečením aplikace nám umožňuje soustředit se na vývoji nových funkcí. Podrobná prezentace o zjištěních testování nám ukázala, jak drobné problémy mohou vést k vážným potížím, a také jak se s nimi vypořádat i v našich dalších aplikacích. “ Roman Huba, produktový manažer, Sygic FleetWork

„Spolupráca s Citadelo bola rýchla a profesionálna. Ich pomoc so zabezpečením aplikácie nám umožňuje sústrediť sa na vývoji nových funkcií. Podrobná prezentácia o zisteniach testovania nám ukázala, ako drobné problémy môžu viesť k vážnym ťažkostiam, a tiež ako sa s nimi vysporiadať aj v našich ďalších aplikáciách.“ Roman Huba, produktový manažér Sygic FleetWork.

Zákazník

Sygic Business Solutions je specializovaná divize společnosti Sygic, developera nejmodernější navigační aplikace, jíž důvěřuje více než 130 milionů řidičů na celém světě.

Sygic Business Solutions vyvíjí profesionální GPS navigaci s dobře zdokumentovaným SDK pro snadnou integraci do dalších řešení pro správu mobilní pracovní síly. Portfolio zahrnuje vlastní webový systém správy vozové flotily a pracovní síly Workforce Management, Sygic FleetWork a další produkty založené na geolokaci.

Výrobky Sygic využívá více než 1500 flotil v oblasti dopravy, speditérství, práce v terénu, automobilového průmyslu, veřejných a pohotovostních služeb.