1. Uvod

Danas je skoro svaka Web stranica neka vrsta Web primjenskog programa, odnosno Web aplikacije. Web primjenski programi danas se koriste u različite namjene, od jednostavnijih kao što su objava i prikaz korisničkih sadržaja, pretraživanje sadržaja, registracija i prijava korisnika, slanje i primanje elektronske pošte, pa sve do složenijih namjena kao što su upravljanje ljudskim resursima, Internet bankarstvo te Internet kupovina. Ovisno o vrsti Web primjenskog programa, tijekom rada Web primjenskog programa koriste se manje ili više osjetljive informacije. Osjetljive informacije su obično korisnička imena i lozinke, osobni korisnički podaci, brojevi kreditnih kartica, neke druge povjerljive i tajne informacije i dr. Prilikom izgradnje Web primjenskih programa se zbog toga mora voditi računa na koji način se te osjetljive informacije pohranjuju, kako se prenose na Web primjenski program, te na koji način Web primjenski program radi s tim informacijama. Zbog toga što koriste povjerljive i tajne informacije, sigurnost Web primjenskih programa danas je ključno pitanje računalne sigurnosti.

Kako se Web primjenski programi cijelo vrijeme nalaze na Internetu, česta su meta različitih vrsta napada. Kako bi Web primjenski programi bili sigurni i kako bi se zaštitili od napada ugrađuju se različiti sigurnosni mehanizmi. Ti sigurnosni mehanizmi, ako su ispravno ostvareni, osiguravaju prihvatljivu razinu sigurnosti Web primjenskih programa. Ali zbog nedovoljne sigurnosne osviještenosti programera i administratora, nastaju različiti sigurnosni propusti u programskom kodu i konfiguraciji Web primjenskih programa. Ti sigurnosni propusti dovode do pojave različitih vrsta ranjivosti. Te ranjivosti napadači iskorištavaju kako bi kompromitirali sigurnost Web primjenskih programa, te kako bi došli do povjerljivih informacija. Napadači danas u većini slučajeva iskorištavaju ranjivosti Web primjenskih programa kako bi došli do povjerljivih korisničkih informacija. Ukradene povjerljive korisničke informacije napadači koriste za provođenje različitih vrsta napada usmjerenih protiv korisnika. Obično, napadači ukradene povjerljive informacije koriste za različite vrste prijevara, krađu identiteta, krađu financijskih sredstava i sl. Zbog svega navedenog izuzetno je važno ugraditi dobre sigurnosne mehanizme, kako bi se Web primjenski programi zaštitili od napada, te kako bi se smanjila vjerojatnost nastajanja ranjivosti.

Sigurnosno stanje Web primjenskih programa potrebno je provjeravati periodički, kako bi se sigurnost Web primjenskih programa držala na optimalnoj razini. Nije dovoljno ugraditi sigurnosne mehanizme i više nikada se ne brinuti o sigurnosti Web primjenskih programa. Napadi na Web primjenske programe s vremenom postaju sve sofisticiraniji i teži za otkrivanje, a i periodički se otkrivaju neki novi tipovi ranjivosti Web primjenskih programa. Zbog svega toga je potrebno periodički provjeravati sigurnosno stanje Web primjenskih programa. Jedna od metoda za ispitivanje sigurnosnog stanja Web primjenskih programa je penetracijsko ispitivanje sigurnosti. Penetracijsko ispitivanje sigurnosti daje uvid u trenutno sigurnosno stanje Web primjenskog programa. Penetracijsko ispitivanje sigurnosti pruža pogled na Web primjenski program na način na koji ga vidi i napadač, odnosno tijekom penetracijskog ispitivanja koriste se iste ili slične metode za otkrivanje ranjivosti s kojima se koristi i napadač. Tijekom provođenja penetracijskog ispitivanja sigurnosti mogu se koristiti različiti raspoloživi programski alati za ubrzavanje izvođenja penetracijskog ispitivanja. U nekim slučajevima ostvaruju se posebni alati za određene vrste Web primjenskih programa, kako bi se ubrzalo izvođenje penetracijskog ispitivanja, te kako bi se povećala kvaliteta otkrivanja ranjivosti. Penetracijsko ispitivanje koristi se kako bi se pronašle i poznate i nepoznate ranjivosti Web primjenskih programa. Rezultati penetracijskog ispitivanja koriste se kako bi se unaprijedilo sigurnosno stanje, odnosno kako bi se uklonile sve pronađene ranjivosti Web primjenskih programa. Penetracijsko ispitivanje sigurnosti provodi se periodički, kako bi se pratilo sigurnosno stanje Web primjenskog programa, te kako bi se osiguravala optimalna razina sigurnosti.