Malý penetrační test ZDARMA
Garant projektu Ing. Aleš Špidla: "Kybernetická a informační bezpečnost není otázkou zákonů, je otázkou pudu sebezáchovy!"
Kybernetické útoky se nevyhýbají ani obcím a jejich organizacím.
Z vlastní zkušenosti v rámci pověřenectví GDPR víme například o napadení webových stránek mateřské školky nebo úřadu hackery a vymazání všech dat. Nebyl to útok, který by žádal nějaké finanční částky za vrácení dat, ale "jen tak". Jindy nejde jen o data, ale i o peníze a prestiž.
Kybernetická bezpečnost webových stránek měst a obcí v ČR je nezbytná pro ochranu citlivých dat a zajištění důvěry občanů. Implementace základních bezpečnostních opatření, jako je používání HTTPS, pravidelné aktualizace a vzdělávání zaměstnanců, může významně snížit riziko kybernetických útoků. Je důležité, aby města a obce věnovaly této oblasti dostatečnou pozornost a investovaly do bezpečnostních technologií a školení.
Úplně zdarma máte k dispozici aplikaci "Malý penetrační test", kde si můžete vyzkoušet, jestli máte na stránkách vše v pořádku.
Základní informace o aplikaci
Přehled funkcí a účelu
Tato aplikace je webový nástroj pro testování dostupnosti, bezpečnosti a funkčnosti URL. Umožňuje kontrolu SSL certifikátů, bezpečnostních hlaviček a stav interních i externích odkazů.
Pro koho je aplikace určena
Cílová skupina uživatelů
Aplikace je určena pro vývojáře, administrátory a bezpečnostní testery, kteří chtějí rychle identifikovat problémy s bezpečností a dostupností webových stránek. Umožňuje snadno zjistit nefunkční odkazy nebo chybějící zabezpečení.
Jak aplikace funguje
Stručný popis procesu testování
Uživatel zadá URL a aplikace provede automatizované testování. Ověří stav stránky, platnost SSL certifikátu, přítomnost bezpečnostních hlaviček a analyzuje odkazy. Výsledkem je přehledná zpráva s detekovanými problémy a statistikami.
Co se testuje?
Content-Security-Policy - Prevence škodlivých skriptů
CSP je zásadní bezpečnostní hlavička, která chrání webové stránky před útoky, jako je Cross-Site Scripting (XSS) nebo vkládání škodlivého obsahu. Umožňuje správcům webu definovat pravidla pro zdroje, které může stránka načíst (např. obrázky, skripty, styly). Pokud stránka načte něco, co není povolené, prohlížeč to zablokuje.
Příklad použití:
Web může povolit pouze vlastní skripty (např. z domény example.com) a zablokovat všechny externí zdroje. Tím se zabrání útočníkům v injekci škodlivého kódu, který by mohl ukrást data uživatelů nebo infikovat zařízení.
Proč je to důležité:
Útoky XSS mohou vést ke krádeži citlivých informací (jako jsou hesla nebo čísla platebních karet) nebo k distribuci škodlivého softwaru. CSP minimalizuje riziko tím, že omezuje, co se na webu může spouštět.
Strict-Transport-Security - Zajištění šifrovaného připojení (HTTPS)
HSTS zajišťuje, že se webové stránky vždy načítají přes HTTPS místo nezabezpečeného HTTP. Tato hlavička informuje prohlížeč, že se má k webu připojovat výhradně přes zabezpečené připojení.
Příklad použití:
Pokud uživatel zadá do prohlížeče http://example.com, prohlížeč automaticky přesměruje na https://example.com.
Proč je to důležité:
Bez HSTS může útočník odposlouchávat komunikaci mezi uživatelem a serverem, což umožňuje útoky typu Man-in-the-Middle (MITM). HSTS tak chrání citlivá data, jako jsou přihlašovací údaje nebo platební informace.
X-Content-Type-Options - Ochrana proti nesprávnému zpracování souborů
Tato hlavička zabraňuje prohlížečům, aby automaticky odhadovaly typ obsahu souboru. Prohlížeč tak přesně dodržuje typ souboru, který je určen na serveru.
Příklad použití:
Pokud web nabízí ke stažení obrázek s typem image/png, ale útočník by se pokusil přimět prohlížeč k jeho spuštění jako spustitelný soubor, tato hlavička tomu zabrání.
Proč je to důležité:
Bez této hlavičky může útočník nahrát na web soubor, který se tváří jako bezpečný, ale obsahuje škodlivý kód. Prohlížeč by mohl soubor nesprávně interpretovat a spustit ho, což by mohlo poškodit uživatelovo zařízení.
X-Frame-Options - Zabránění zneužití stránek v jiných rámcích
Tato hlavička zabraňuje, aby byla vaše stránka vložena do rámce (iframe) na jiném webu. Tím chrání před útoky typu Clickjacking, kdy útočník vytvoří falešnou stránku, která oběť nevědomě navádí k provedení akce na originální stránce.
Příklad použití:
Pokud web obsahuje tlačítko „Zaplatit“, útočník by mohl vložit váš web do svého rámce, překrýt ho vlastními prvky a přimět uživatele kliknout na tlačítko, aniž by si toho všiml.
Proč je to důležité:
Clickjacking může vést k neoprávněnému přístupu k citlivým datům nebo nechtěným transakcím. Nastavení X-Frame-Options na DENY nebo SAMEORIGIN tento útok znemožňuje.
X-XSS-Protection - Ochrana proti virům skrze webové stránky
Tato hlavička aktivuje vestavěnou ochranu prohlížeče proti útokům XSS. Pokud prohlížeč detekuje podezřelé kódy, které by mohly být zneužity, ochrana XSS je zablokuje.
Příklad použití:
Pokud se útočník pokusí vložit skript do vyhledávacího pole nebo do URL adresy, prohlížeč tento skript zablokuje.
Proč je to důležité:
XSS útoky mohou krást data nebo přimět uživatele k nechtěným akcím, například ke stažení škodlivého softwaru. Tato ochrana slouží jako dodatečná vrstva zabezpečení nad rámec CSP.
Mám zájem o provedení malého penetračního testu ZDARMA
(služba je určena pro veřejnou správu)
Vyplňte objednávkový formulář a následně vám do dvou pracovních dnů dorazí mail s odkazem na penetrační test. Po vyplnění celé adresy (například https://www.spmo.cz) proběhne během cca 2 minut penetrační test a výsledek se vám ihned ukáže. Další informace získáte na https://docs.catania-service.cz/vysvetleni/uvod
V případě, že vám test nahlásí chybu, je potřeba načíst stránku a znovu zadat adresu. V případě technických problémů nám zašlete oznámení a Print Screen obrazovky na podpora@catania.cz.