Это проверка сайта на наличие уязвимостей для предотвращения возможности взлома. Владелец сайта может не знать о наличии брешей в системе безопасности интернет-ресурса, которые хакеры могут использовать для получения конфиденциальной информации, нарушения работы сайта и его использования в своих целях. Задача наших специалистов найти все слабые места на сайте, дать инструкции, как укрепить их, и исключить возможность негативных действий злоумышленников.
Кому необходим анализ безопасности сайта
- Компаниям финансовой сферы (банки, биржи, платежные системы). Интернет-ресурсы этих организаций находятся под пристальным вниманием хакеров, так как взлом потенциально может дать им большой куш.
- Компаниям, предоставляющим услуги бизнесу (агентства, студии, разработчики). Здесь могут быть заинтересованными во взломе как конкуренты, так и хакеры, желающие получить базы данных клиентов для последующей продажи.
- СМИ (новостные сайты, информационные порталы). Интересом для взлома может стать желание злоумышленников получить доступ к большой аудитории с целью показа рекламы, спама или заражение компьютеров посетителей вирусом.
- Компаниям, предоставляющим услуги клиентам B2C. В этой высококонкурентной среде, как правило, во взломе заинтересованы прямые конкуренты с целью нарушить работу сайта, получить контакты клиентов и привести их в свою компанию.
Почему мы?
- Работаем с 2005 года. У нас большой опыт. Проверили на безопасность сотни сайтов. Знаем об уязвимостях все.
- Практикуем комплексный и индивидуальный подход. Для тестирования сайта используем как автоматизированные, так и ручные способы, что позволяет полностью исключить все уязвимости. Смотрим на сайт под разными углами, глубоко погружаясь в проект.
- Мы — агентство полного цикла. По результатам аудита можем не только дать индивидуальные рекомендации, но и самостоятельно устранить проблемы в системе безопасности сайта.
- Знаем все виды комбинированных хакерских атак, основанных на методологиях OWASP, OSSTMM, WASC.
Этапы аудита безопасности
- Сбор информации о сайте.
- Поиск возможного вредоносного кода и его устранение.
- Анализ векторов атаки.
- Анализ веб-окружения, веб-сервера и смежной инфраструктуры.
- Автоматический анализ безопасности сайта.
- Ручной анализ безопасности сайта и определение "узких мест".
- Анализ всей полученной информации и проведение дополнительных тестов.
- Формирование отчета и рекомендаций.
Это общий план анализа безопасности сайта. В зависимости от проекта и задач аудита он может быть индивидуально изменен.
Цена на Аудит безопасности сайта
Цена – от 30 000 руб.
Срок выполнения – от 10 рабочих дней.
Объем и состав работ — обсуждается, исходя из конкретной ситуации с сайтом.
Распространенные методы взлома и уязвимости интернет-ресурса
- Инъекции. Подбор таких запросов, которые позволят злоумышленнику получить доступ к базе данных сайта. Задача аудитора заключается в том, чтобы найти возможные способы делать такие запросы и исключить их.
- Межсайтовый скриптинг. Ошибка, позволяющая передать JavaScript-код на исполнение в браузер пользователя с целью получения данных из форм, cookie или изменения информации на странице. Возможность передавать скрипты на страницу должна быть устранена.
- Небезопасная конфигурация. Некоторые компоненты инфраструктуры сайта (фреймворки, сервер, базы данных) могут быть настроены таким образом, что хакер может получить конфиденциальные или служебные данные - cookie, пароли и прочее. Или найти стандартную уязвимость, которую дают настройки по-умолчанию. Наша задача найти неправильные настройки и указать как их правильно скорректировать.
- Отсутствие функций контроля доступа. Доступ к защищенным данным должен быть предоставлен только идентифицированным пользователям с необходимым уровнем доступа. В противном случае любой злоумышленник может получить доступ к конфиденциальной информации. Нужно проверять кто делает запросы к сайту и какие запросы он делает.
- Недочеты системы аутентификации и хранения сессий. Необходимо правильно хранить идентификатор сессии, осуществляя проверки IP-адреса, количество соединений в рамках сессии и блокировать подозрительных пользователей. В противном случае ресурс могут взломать.
- Небезопасные прямые ссылки на объекты. Личные данные и сообщения по прямым ссылкам без проверки сессии и IP пользователя передавать нельзя, но некоторые интернет-ресурсы используют этот небезопасный метод.
- Незащищенность критичных данных. Использование протокола HTTP для передачи конфиденциальной информации ставит ее владельца под удар, так как в протоколе HTTP они не шифруются и их можно перехватить. Для безопасной передачи данных необходимо использовать протокол HTTPS.
- Межсайтовая подделка запроса. Способ при котором аутентифицированного пользователя направляют на сайт хакера, преобразующий запрос пользователя таким образом, чтобы получить личную выгоду - деньги на свой счет, данные и т.д.
- Непроверенные переадресации и пересылки. Недочеты в системе переадресации пользователей с одной страницы на другую, которые злоумышленник может использовать для перенаправления пользователя на свой сайт, идентичный взломанному по дизайну, запросить у пользователя личные конфиденциальные данные, украсть их и применить в своих целях.
- Использование компонентов с известными уязвимостями. Интернет-ресурс может быть построен на популярном движке с использованием распространенного фреймворка и библиотек в которых есть известные уязвимости. Ими и может воспользоваться хакер.
Чтобы сделать заказ вы можете:
- позвонить нам по телефону +7 (495) 7777-986, или
- написать по электронной почте [email protected], или
- заполнить форму онлайн заказа ниже.
Форма заполнена неверно.
|