Před časem nás oslovili organizátoři soutěže “Zlatý Erb”, zda bychom se nechtěli podílet na spolupráci v oblasti bezpečnosti webových aplikací soutěžících. Soutěž Zlatý Erb hodnotí webové stránky obcí s rozšířenou působností, kdy letos mezi hodnotící kritéria přibyla také výše zmiňovaná bezpečnost webových aplikací. Z pohledu organizátorů bylo logické oslovit CSIRT.CZ, který již má s testováním webů zkušenosti a to jak z provozování služby skenerwebu, tak také ze služby penetračního testování. Z pohledu našeho týmu se pak jednalo o vítanou příležitost zvýšit povědomí o potřebě zajistit bezpečnost webových aplikací, speciálně těch, které jsou pro širokou veřejnost zdrojem důležitých informací.
Celkem jsme dostali za úkol otestovat 15 webových aplikací, které se dostaly do finálového kola. Rozhodli jsme se, že pro otestování využijeme metodiku OWASP TOP 10, která nám přišla vhodná pro základní posouzení bezpečnosti hodnocených webů. V průběhu testování jsme zjistili, že celkem 13 webů bylo realizováno pomocí stejného redakčního systému. Vzhledem k tomu, že se nacházely na podobném IP rozsahu, usoudili jsme, že jejich vývoj má pod sebou jedna společnost, která se zabývá vývojem webů. V průběhu testování se nám tato teorie z větší části potvrdila, protože domény obsahovaly z větší části stejné bezpečnostní nedostatky, dlužno říci, že čistě minoritního charakteru. Zbylé dvě domény byly hostovány na jiných IP adresách a měly své vlastní bezpečnostní nedostatky. Skutečnost, že jsme měli 13 webů, které ve výsledku měly stejné nastavení nám usnadnilo celé testování, bohužel jsme z druhé strany přišli o možnost porovnat větší množství webů od různých vývojářů a nalézt tak více zajímavých zranitelností.
Pro každého účastníka jsme vytvořili bezpečnostní zprávu, kde jsme uvedli všechny nedostatky a doporučení, jak je opravit. Také jsme sepsali seznam bezpečnostních doporučení, kde jsme sepsali seznam věcí, které byly v rámci projektu nejčastěji doporučovány k nápravě. Dokument s doporučeními jsme poskytli organizátorům akce Zlatý Erb, aby ho mohli prezentovat na svých stránkách. Z celé akce tak mohou profitovat nejen finalisté, ale také další obce, kterým není bezpečnost jejich webů a tím i občanů lhostejná.