Аудит безопасности сайта — это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению.
Проверка сайта на уязвимости осуществляется путем тестирования на устойчивость к комбинированным методам атак и основана на методологиях OWASP, WASC, OSSTMM, PTES и также лучших практиках и рекомендациях стандарта PCI DSS. Все работы подкрепляются обширным практическим опытом специалистов.
Существенно повысить защищенность сайта может помочь комплексный аудит безопасности, как правило включающий в себя следующие действия:
- Поиск уязвимостей серверных компонентов;
- Поиск уязвимостей в веб-окружении сервера;
- Проверка на удаленное выполнение произвольного кода;
- Проверка на наличие инъекций (внедрение кода);
- Попытки обхода системы аутентификации веб-ресурса;
- Проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей;
- Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
- Попытки произвести Remote File Inclusion / Local File Inclusion;
- Поиск компонентов с известными уязвимостями;
- Проверка на перенаправление на другие сайты и открытые редиректы;
- Сканирование директорий и файлов, используя перебор и «google hack»;
- Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
- Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
- Атаки класса «race condition»;
- Внедрение XML-сущностей;
- Подбор паролей.
По окончании аудита безопасности сайта предоставляется детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.
Веб-приложение - одна из наиболее предпочтительных целей для кибер атак. Его компрометация может повлечь за собой финансовые и репутационные потери, а также создать точки входа в инфраструктуру компании.
Аудит безопасности веб-приложений позволяет выявить и устранить проблемы до того, как ими воспользуется нарушители.