Company of Informational Security

ул. Даниила Щербаковского 45А, г.Киев, 04111, Украина

Мы предлагаем технологии завтрашнего дня. Будь на шаг впереди!

Оценка защищенности Web ресурсов

Большинство проверенных веб-ресурсов на сегодняшний момент имеют ряд серьезных уязвимостей и не отвечает современным требованиям к безопасности. Примерно половина всех обнаруженных уязвимостей была связана с так называемыми SQL инъекциями, еще 42% уязвимостей связаны с кросс- скриптинговыми уязвимостями (XSS, Cross Site Scripting), называемые также межсайтовым скриптингом, 7% уязвимостей связаны с раскрытием исходного кода серверного веб-приложения, которое непосредственно обращается к данным.

Безопасность онлайновых приложений становится одной из основных проблем для обеспечения не только безопасности веб-сайтов, но и множества корпоративных приложений, работающих через Интернет.

Данная оценка направлена на диагностику путей взлома систем, оценку защищенности веб-сайтов и веб-приложений, а также анализ рисков при аудиторских проверках, при оценке безопасности организации. Базируясь на принципах конфиденциальности, доступности и целостности, оценка защищенности веб-ресурсов, способствует обеспечению сохранности данных, учетных записей, доступов и подключений пользователей.

Основные работы, которые осуществляются при проведении аудита на защищенность веб-ресурсов:webpen.jpg
- обнаружение уязвимостей, позволяющих несанкционировано получить доступ к закрытым областям веб-приложений;
- попытки модифицирования информации веб-сервисов;
- тестирование возможности внедрения и выполнения произвольного вредоносного программного кода;
- проверку на устойчивость к атакам SQL инъекциям, Cross Site Scripting, XSS и др.;
- анализ кода скриптов;
- обнаружение и выявление уязвимостей на операционных системах, на которых функционируют веб-сервера и веб-сервисы;
- предоставление отчета по найденным уязвимостям и рискам, а также рекомендаций по их устранению;
- проверка устойчивости к Dos/DDos атакам.

Методика
При проведении аудита специалисты компании подвергают анализу как само веб-приложение, так и операционную систему, и базы данных. При этом мы используем, как инструментальное сканирование, так и анализ вручную, что существенно повышает качество работ.
Инструментальный анализ — предполагает сканирование веб-ресурса сканером уязвимости, а также другими специализированными приложениями.
Анализ вручную — второй вид сканирования, когда приложение разворачивается на выделенном сервере и специалисты проводят проверку данного приложения вручную, используя все возможные методы и атаки на приложения. После чего составляется детальные отчет о устойчивости приложений к тем либо иным атакам, включая атаки вида отказ в обслуживании.

Процесс выполнения тестирования на проникновения

webpentest.jpg

Стандарты
При проведении анализа защищенности используются персональные разработки наших специалистов, а также общепризнанные стандарты, и руководства по обеспечению информационной безопасности, Web Application Security Consortium (WASC) Threat Classification и Open Web Application Security Project (OWASP) Testing Guide.
При работе используются передовые инструментальные средства анализа защищенности, как свободно распространяемые, так и коммерческие.

Отчёт
По окончанию работ заказчику предоставляется отчёт, в котором содержится общая оценка защищённости приложений и список найденных уязвимостей с их подробным описанием, демонстрационными примерами и рекомендациями по устранению.

Дополнительно предоставляемые услуги
Анализ исходного кода приложения — эти работы выполняют высоко квалифицированные программисты, которые определяю безопасность написанного кода, отсутствие избыточности и установленных закладок. Этот вид работ является необходимым, когда происходит внедрения систем, связанных с финансовыми транзакциями либо биллингом.

Возврат к списку