Аудит безопасности сайта

Это проверка сайта на наличие уязвимостей для предотвращения возможности взлома. Владелец сайта может не знать о наличии брешей в системе безопасности интернет-ресурса, которые хакеры могут использовать для получения конфиденциальной информации, нарушения работы сайта и его использования в своих целях. Задача наших специалистов найти все слабые места на сайте, дать инструкции, как укрепить их, и исключить возможность негативных действий злоумышленников.

Кому необходим анализ безопасности сайта

1. Компаниям финансовой сферы (банки, биржи, платежные системы). Интернет-ресурсы этих организаций находятся под пристальным вниманием хакеров, так как взлом потенциально может дать им большой куш.
2. Компаниям, предоставляющим услуги бизнесу (агентства, студии, разработчики). Здесь могут быть заинтересованными во взломе как конкуренты, так и хакеры, желающие получить базы данных клиентов для последующей продажи.
3. СМИ (новостные сайты, информационные порталы). Интересом для взлома может стать желание злоумышленников получить доступ к большой аудитории с целью показа рекламы, спама или заражение компьютеров посетителей вирусом.
4. Компаниям, предоставляющим услуги клиентам B2C. В этой высококонкурентной среде, как правило, во взломе заинтересованы прямые конкуренты с целью нарушить работу сайта, получить контакты клиентов и привести их в свою компанию.

Почему мы?

1. Работаем с 2005 года. У нас большой опыт. Проверили на безопасность сотни сайтов. Знаем об уязвимостях все.
2. Практикуем комплексный и индивидуальный подход. Для тестирования сайта используем как автоматизированные, так и ручные способы, что позволяет полностью исключить все уязвимости. Смотрим на сайт под разными углами, глубоко погружаясь в проект.
3. Мы — агентство полного цикла. По результатам аудита можем не только дать индивидуальные рекомендации, но и самостоятельно устранить проблемы в системе безопасности сайта.
4. Знаем все виды комбинированных хакерских атак, основанных на методологиях OWASP, OSSTMM, WASC.

Этапы аудита безопасности

1. Сбор информации о сайте.
2. Поиск возможного вредоносного кода и его устранение.
3. Анализ векторов атаки.
4. Анализ веб-окружения, веб-сервера и смежной инфраструктуры.
5. Автоматический анализ безопасности сайта.
6. Ручной анализ безопасности сайта и определение "узких мест".
7. Анализ всей полученной информации и проведение дополнительных тестов.
8. Формирование отчета и рекомендаций.

Это общий план анализа безопасности сайта. В зависимости от проекта и задач аудита он может быть индивидуально изменен.

Распространенные методы взлома и уязвимости интернет-ресурса

1. Инъекции. Подбор таких запросов, которые позволят злоумышленнику получить доступ к базе данных сайта. Задача аудитора заключается в том, чтобы найти возможные способы делать такие запросы и исключить их.
2. Межсайтовый скриптинг. Ошибка, позволяющая передать JavaScript-код на исполнение в браузер пользователя с целью получения данных из форм, cookie или изменения информации на странице. Возможность передавать скрипты на страницу должна быть устранена.
3. Небезопасная конфигурация. Некоторые компоненты инфраструктуры сайта (фреймворки, сервер, базы данных) могут быть настроены таким образом, что хакер может получить конфиденциальные или служебные данные - cookie, пароли и прочее. Или найти стандартную уязвимость, которую дают настройки по-умолчанию. Наша задача найти неправильные настройки и указать как их правильно скорректировать.
4. Отсутствие функций контроля доступа. Доступ к защищенным данным должен быть предоставлен только идентифицированным пользователям с необходимым уровнем доступа. В противном случае любой злоумышленник может получить доступ к конфиденциальной информации. Нужно проверять кто делает запросы к сайту и какие запросы он делает.
5. Недочеты системы аутентификации и хранения сессий. Необходимо правильно хранить идентификатор сессии, осуществляя проверки IP-адреса, количество соединений в рамках сессии и блокировать подозрительных пользователей. В противном случае ресурс могут взломать.
6. Небезопасные прямые ссылки на объекты. Личные данные и сообщения по прямым ссылкам без проверки сессии и IP пользователя передавать нельзя, но некоторые интернет-ресурсы используют этот небезопасный метод.
7. Незащищенность критичных данных. Использование протокола HTTP для передачи конфиденциальной информации ставит ее владельца под удар, так как в протоколе HTTP они не шифруются и их можно перехватить. Для безопасной передачи данных необходимо использовать протокол HTTPS.
8. Межсайтовая подделка запроса. Способ при котором аутентифицированного пользователя направляют на сайт хакера, преобразующий запрос пользователя таким образом, чтобы получить личную выгоду - деньги на свой счет, данные и т.д.
9. Непроверенные переадресации и пересылки. Недочеты в системе переадресации пользователей с одной страницы на другую, которые злоумышленник может использовать для перенаправления пользователя на свой сайт, идентичный взломанному по дизайну, запросить у пользователя личные конфиденциальные данные, украсть их и применить в своих целях.
10. Использование компонентов с известными уязвимостями. Интернет-ресурс может быть построен на популярном движке с использованием распространенного фреймворка и библиотек в которых есть известные уязвимости. Ими и может воспользоваться хакер.