Аудит веб-проектов

Это комплекс работ по поиску уязвимостей и критических ошибок в архитектуре веб-ресурса и серверном программном обеспечении, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт. Данная упреждающая мера позволит сформировать объективную оценку уровня защиты веб-ресурса организации и отразит детальную информацию о найденных слабых местах.

Бывают случаи, когда аудит безопасности сайта завершался получением доступа к сайтам заказчика. Проверка сайта на уязвимости осуществляется путем тестирования на устойчивость к комбинированным методам атак и основана на автоматизированных методологиях, а также лучших практиках и рекомендациях стандарта PCI DSS. Все работы подкрепляются обширным практическим опытом специалистов.

Там, где становится невозможным использование автоматизированных систем, мы проводим поиск и эксплуатацию уязвимостей в ручном режиме, используем различные техники обхода и прочие эффективные механизмы атаки для наиболее полной и точной оценки защищенности веб-приложений.

Полученный в результате аудита отчет позволит компании разработать грамотную стратегию по построению защиты веб-ресурса от кибер-атак и избежать финансовых и репутационных потерь.

Когда важно заказывать аудит безопасности веб-придожений

В некоторых случаях на необходимость проведения проверки сообщают поисковые системы.

Произошел инцидент, реализованный с помощью веб-ресурса организации.

Один из администраторов сайта скомпрометировал себя, и имеются опасения за сохранность информации на веб-ресурсе.

При проведении аудита безопасности уделяется внимание уязвимостям, распространённых на данный момент в веб-приложениях

• Утечка пользовательских и корпоративных данных.
• Внедрение вредоносного кода.
• SQL-инъекция.
• Взлом аутентификации и управление сессией.
• Взлом контроля доступа.
• Межсайтовый скриптинг (XSS).
• Внешние сущности XML (XXE).
• Небезопасная конфигурация безопасности.
• Использование компонентов с известными уязвимостями.
• Отсутствие мониторинга состояния веб-систем.
• Проверке уязвимостей серверных компонентов.
• Проверке уязвимостей в веб-окружении сервера.
• Проверке сканирование директорий и файлов, используя перебор и «google hack».
• Подбор паролей.

Аудит включает следующие этапы:

• Выявление уязвимостей серверных компонентов.
• Поиск слабых мест в веб-окружении сервера.
• Проверка на удаленное выполнение произвольного кода.
• Проверка на наличие вредоносного кода.
• Внедрение XML-сущностей.
• Отслеживание попыток обхода систем аутентификации.
• Тестирование на присутствие «XSS»/«CSRF» уязвимостей.
• Испытание возможности перехвата привилегированных аккаунтов.
• Попытки произвести Remote File Inclusion / Local File Inclusion.
• Анализ присутствия в компонентах самых распространенных уязвимостей.
• Брутфорс исследование.
• Проверка на перенаправление на другие сайты и открытые редиректы.
• Проверка всех форм заполнения данных (регистрация / авторизация/ формы обратной связи и др.).
• Исследование на восприятие атаки класса «race condition».
• Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации.

Предоставляемая отчетность

Детальное описание методики проведения анализа защищённости;

Модель угроз и нарушителя;

Подробное описание всех обнаруженных уязвимостей и их подтверждение;

Анализ уровня рисков (оценка вероятности эксплуатации уязвимости и степени влияния на бизнес-процессы заказчика)рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения;

Выводы для руководства, содержащие экспертную оценку уровня защищённости по результатам анализа.