Аудит безопасности сайта

аудит безопасности сайта, проверка сайта на уязвимости

Комплексный аудит безопасности веб-приложения

Аудит безопасности сайта на наличие уязвимостей является мощным инструментом для обеспечения информационной безопасности ресурса. Аудит сайта на наличие уязвимостей — это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт. Как правило, в эти работы входят такие мероприятия как: сканирование сайта на уязвимости, ручной анализ содержимого сайта, поиск и выявление ошибок в логике работы скриптов и компонентов веб-приложения.

Зачастую, к аудиту безопасности сайта прибегают постфактум, уже после того как сайт был взломан, отмечен в поисковой выдаче как вредоносный и удален со своих позиций. Трафик на сайт падает до минимальных значений, клиенты и сотрудники оповещают о том, сайт заражен вирусами. Чтобы избежать взлома сайта злоумышленниками необходимо проводить регулярный аудит безопасности и строго следовать рекомендациям специалистов.

Проверка сайта на уязвимости будет осуществляться путем тестирования на устойчивость к комбинированным методам атак и основана на методологиях OWASP, WASC, OSSTMM, а также лучших практиках и рекомендациях стандарта PCI DSS. Все работы подкрепляются обширным практическим опытом наших сертифицированных специалистов. В случаях, когда сайт создан на основе популярной CMS (Битрикс, NetCat, WordPress, Joomla!, Drupal и многие другие), дополнительно будет проведена проверка устойчивости системы к известным эксплоитам. Для предотвращения взлома сайта на популярных CMS мало устанавливать последние обновления. Необходимо удалять старые учетные записи, проверять актуальность плагинов, расширений и модулей, обращать внимание на служебные скрипты и настройку хостинга - весь комплекс таких услуг и представляет собой аудит безопасности сайта. По результатам проверки сайта на уязвимости, заказчик услуги получает отчет и рекомендации по исправлению обнаруженных уязвимостей. Все работы ведутся строго по договору и соглашения о неразглашении (NDA).

Ежеквартальный аудит безопасности сайта в автоматическом режиме

Аудит безопасности в автоматическом режиме способен обнаружить до 70% распространенных уязвимостей. Такой аудит позволяет владельцам сайта своевременно получать информацию об уязвимых и потенциально уязвимых веб-сервисах, и, обладая такой информацией, вовремя их устранять. Аудит безопасности в автоматическом режиме (тариф "АВТО") позволяет обнаружить большинство уязвимостей, выявляемых популярными сканерами веб-приложений, которыми активно пользуются злоумышленники. Ежеквартальный аудит безопасности сайта в автоматическом режиме производится только после проведения комплексного аудита веб-приложения по тарифу "Эксперт".

Аудит безопасности сайта

статистика, задачи, методология

Web Application Firewall

защита сайта в режиме 24/7

АВТО


СТАНДАРТНЫЙ
РЕЖИМ АУДИТА

15 000 руб.


    • Поиск уязвимостей в автоматическом режиме
    • Анализ веб-окружения
    • Стандартный отчет
    • Рекомендации

ЭКСПЕРТ


РАСШИРЕННЫЙ
РЕЖИМ АУДИТА

от 90 000 р.


    • Поиск уязвимостей в автоматическом режиме
    • Поиск уязвимостей в ручном режиме
    • Анализ веб-окружения
    • Анализ веб-сервера
    • Анализ смежной инфраструктуры
    • Детальный отчет
    • Рекомендации
    • Compliance Management
    • Нагрузочное тестирование (дополнительно)

WAF 24/7


ЗАЩИТА САЙТА
ОТ ХАКЕРСКИХ АТАК

от 15 000 р. в месяц


    • Комплексный метод защиты
    • Защита от множества категорий атак: SQL injection, Cross-site Scripting (XSS), Local\Remote File Include и прочих
    • Защита от эксплойтов популярных CMS
    • Защита от сканирования сайта на уязвимости
    • Защита от популярных DoS-атак, инструментов и вредоносных ботов
    • Защита от перебора паролей
    • Оперативное уведомление об инцидентах и реагирование
    • Ежемесячный отчет

подробнее


Тариф "Авто"

Стоимость: 15.000 рублей;
Продолжительность аудита: до 5 рабочих дней;
Рекомендуемая периодичность аудита: раз в квартал.

Тарифный план предназначен для регламентной проверки ресурса (обычно ежеквартальной, согласно рекомендациям стандарта PCI DSS) на наличие уязвимостей, относящихся к ошибкам конфигурации; утечкам; уязвимостям, к которым существуют публичные эксплоиты. Также в рамках этого тарифа проверяются учетные записи технического персонала и пользователей системы на устойчивость к атакам перебора по словарю. Словарь для перебора содержит актуальные и часто используемые пароли.

По тестируемому приложению будет составлен сценарий для автоматического комплекса, включающий особенности тестируемого ресурса (платформа, области для применения атак по словарю, критичные зоны, места взаимодействия с внешними сервисами и коннекторами). При каждом новом тестировании будет создаваться карта приложения (для поиска новых объектов) – фаззинг директорий и файлов. По окончанию аудита предоставляется стандартный отчет с выявленными уязвимостями и рекомендациями по их устранению. Данный тарифный план рекомендуется к применению после аудита по тарифному плану "Эксперт". Рекомендуется проводить сканирование в автоматическом режиме с периодичностью раз в квартал.


Тариф "Эксперт"

Стоимость: от 90.000 рублей;
Продолжительность аудита: до 10 рабочих дней;
Рекомендуемая периодичность аудита: раз в год.

Аудит ресурса (веб-компонентов и веб-окружения) производится методом "BlackBox" и включает следующие этапы:
- Пассивный сбор информации;
- Определение веб-окружения;
- Определение платформы;
- Определение типа CMS;
- Сканирование портов;
- Сбор баннеров / поиск публичных эксплойтов;
- Автоматическое сканирование;
- Анализ данных;
- Определение «узких мест» ресурса;
- Ручной анализ в пассивном режиме;
- Сбор и анализ полученной информации;
- Анализ векторов атаки;
- Подтверждение полученных векторов;
- Составление отчета.

В процессе аудита сайта выполняются следующие действия над тестируемым ресурсом:
- Поиск уязвимостей серверных компонентов;
- Поиск уязвимостей в веб-окружении сервера;
- Проверка на удаленное выполнение произвольного кода;
- Проверка на наличие переполнений;
- Проверка на наличие инъекций (внедрение кода);
- Попытки обхода системы аутентификации веб-ресурса;
- Проверка веб-ресурса на наличие XSS / CSRF уязвимостей;
- Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
- Попытки произвести Remote File Inclusion / Local File Inclusion;
- Поиск компонентов с известными уязвимостями;
- Проверка на перенаправление на другие сайты и открытые редиректы;
- Сканирование директорий и файлов, используя перебор и «google hack»;
- Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
- Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
- Атаки класса race condition;
- Подбор паролей.

По окончании аудита предоставляется детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.


Защита сайта от хакерских атак с использованием облачного сервиса WAF

Стоимость: от 15 000 рублей в месяц;
Блокирование практически всех современных атак на веб-приложение;
Оперативное реагирование и информирование;
Ежемесячный отчет.

Облачный Web Application Firewall (WAF) позволяет блокировать атаки на веб-сайт, обеспечивая безопасность сайта в режиме 24/7 даже в случае наличия уязвимостей нулевого дня. Кроме этого, такой сервис обеспечивает защиту от DoS-атак и инструментов сканирования на уязвимости, в том числе защиту от перебора паролей. При сравнительно невысокой стоимости сервис позволяет обеспечить полноценную безопасность сайта любого масштаба, значительно сэкономив на стоимости дополнительных услуг ИБ, а также устранить риски, связанные с атаками на веб-сайт. Подробнее.



Если у вас возникли вопросы или необходима консультация - свяжитесь с нами по телефону: +7 (495) 204-19-72 или напишите на e-mail: info@pentestit.ru