302009, г. Орел, ул. Гайдара, д. 54
+7 (495) 204-19-72
info@pentestit.ru
Контакты
 




ООО "ПентестИТ"
ИНН/КПП: 7710958665/575101001
Адрес: 302009, г. Орёл, ул. Гайдара, д. 54
Режим работы: в будни с 10:00 до 19:00 по московскому времени

подробнее

Аудит безопасности сайта
Аудит безопасности сайта, проверка сайта на уязвимости

Аудит безопасности веб-приложения

Проверка сайта на уязвимости осуществляется путем тестирования на устойчивость к комбинированным методам атак и основана на методологиях OWASP, WASC, OSSTMM, PTES и также лучших практиках и рекомендациях стандарта PCI DSS. Все работы подкрепляются обширным практическим опытом специалистов.

В 100% случаев мы выявляем уязвимости из списка OWASP TOP 10, в 80% случаях обнаруженные уязвимости носят критичный характер, позволяя получить несанкционированный доступ к конфиденциальной информации или к серверу. В нашей практике бывают случаи, когда аудит безопасности сайта завершался получением доступа к ИТ-инфраструктуре заказчика. Там, где становится невозможным использование сканеров уязвимостей, мы проводим поиск и эксплуатацию уязвимостей в ручном режиме, используем различные техники обхода и прочие эффективные механизмы атаки для наиболее полной и точной оценки защищенности веб-приложений.

Nemesida WAF - защита сайтов от хакерских атак

Nemesida WAF - Web Application Firewall на основе машинного обучения, обеспечивающий комплексную защиту сайтов, API и веб-приложений от хакерских атак, доступный в виде установочного дистрибутива. Кроме этого, Nemesida WAF имеет сканер уязвимостей, систему виртуального патчинга и множество дополнительных возможностей, способствующих повышению уровня защищенности веб-приложений. Выявленные аномалии и результаты работы модулей отображаются в удобном личном кабинете.

Комплексный анализ Nemesida WAF позволяет максимально точно выявлять и блокировать хакерские атаки вне зависимости от уровня их сложности и объема, даже в случае наличия на сайте уязвимостей нулевого дня. Nemesida WAF включен в реестр отечественного ПО и имеет все необходимые свидетельства. Узнать больше о возможностях Nemesida WAF.
Информация по тестированию на проникновение сетевого периметра доступна в соответствующем разделе.
А
АВТО
Автоматический режим аудита
от 120 000 руб.
  • Расширенное сканирование веб-ресурса в автоматическом режиме
  • Валидация обнаруженных уязвимостей
  • Стандартный отчет
  • Рекомендации
Отправить заявку
Э
Эксперт
Комплексный режим аудита
от 520 000 руб.
  • Поиск уязвимостей в автоматическом режиме
  • Поиск уязвимостей в ручном режиме
  • Анализ веб-окружения
  • Анализ веб-сервера
  • Анализ смежной инфраструктуры
  • Детальный отчет
  • Рекомендации
  • Compliance Management
  • Нагрузочное тестирование (дополнительно)
Отправить заявку
W
Nemesida WAF
Защита веб-приложений и API от хакерских атак
от 130 000 руб. в год
  • Установочный дистрибутив (On-premises)
  • Полноценный модуль машинного обучения
  • Защита от DDoS L7, подбора паролей, СМС-фрода и прочего паразитного бот-трафика
  • Защита от множества категорий атак: RCE, SQLi, XSS, XXE, LFI, RFI, SSTI и других
  • Защита от атак "нулевого дня" и сканирования сайта на уязвимости
  • Внесен в реестр отечественного ПО
Информация о компании и наличии лицензий доступна в соответствующем разделе. В случае возникновения вопросов не стесняйтесь связаться с нами по телефону +7 (495) 204-19-72 или электронной почте info@pentestit.ru. Вся информация на сайте носит исключительно ознакомительный характер и ни при каких условиях не является публичной офертой, определяемой положениями Статьи 437 Гражданского кодекса РФ.
Аудит безопасности сайта
Тестирование на проникновение
Тариф «Авто»
Продолжительность аудита:
до 15 рабочих дней
Рекомендуемая периодичность аудита:
раз в квартал
Тарифный план предназначен для регламентной проверки ресурса (обычно ежеквартальной, согласно рекомендациям стандарта PCI DSS) на наличие уязвимостей, относящихся к ошибкам конфигурации; утечкам; уязвимостям, к которым существуют публичные эксплойты. Также в рамках этого тарифа проверяются учетные записи технического персонала и пользователей системы на устойчивость к атакам перебора по словарю. Словарь для перебора содержит актуальные и часто используемые пароли. По тестируемому приложению будет составлен сценарий для автоматического комплекса, включающий особенности тестируемого ресурса (платформа, области для применения атак по словарю, критичные зоны, места взаимодействия с внешними сервисами и коннекторами). При каждом новом тестировании будет создаваться карта приложения (для поиска новых объектов) – фаззинг директорий и файлов. По окончанию аудита предоставляется стандартный отчет с выявленными уязвимостями и рекомендациями по их устранению. Данный тарифный план рекомендуется к применению после аудита по тарифному плану "Эксперт". Рекомендуется проводить сканирование в автоматическом режиме с периодичностью раз в квартал.
Тариф «Эксперт»
Продолжительность аудита:
до 15 рабочих дней
Рекомендуемая периодичность аудита:
ежегодно
Аудит ресурса (веб-компонентов и веб-окружения) производится методом "BlackBox" и включает следующие этапы:
  • Пассивный сбор информации;
  • Определение веб-окружения;
  • Определение платформы;
  • Определение типа CMS;
  • Сканирование портов;
  • Сбор баннеров / поиск публичных эксплойтов;
  • Автоматическое сканирование;
  • Анализ данных;
  • Определение «узких мест» ресурса;
  • Ручной анализ в пассивном режиме;
  • Сбор и анализ полученной информации;
  • Анализ векторов атаки;
  • Подтверждение полученных векторов;
  • Составление отчета.
В процессе аудита сайта выполняются следующие действия над тестируемым ресурсом:
  • Поиск уязвимостей серверных компонентов;
  • Поиск уязвимостей в веб-окружении сервера;
  • Проверка на удаленное выполнение произвольного кода;
  • Проверка на наличие переполнений;
  • Проверка на наличие инъекций (внедрение кода);
  • Попытки обхода системы аутентификации веб-ресурса;
  • Проверка веб-ресурса на наличие XSS / CSRF уязвимостей;
  • Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
  • Попытки произвести Remote File Inclusion / Local File Inclusion;
  • Поиск компонентов с известными уязвимостями;
  • Проверка на перенаправление на другие сайты и открытые редиректы;
  • Сканирование директорий и файлов, используя перебор и «google hack»;
  • Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
  • Атаки класса race condition;
  • Подбор паролей.
По окончании аудита предоставляется детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.
Nemesida WAF
Стоимость:
зависит от типа поставки
Вид поставки:
установочный дистрибутив
Количество ложных срабатываний:
менее 0.01% с модулем машинного обучения
Nemesida WAF (Web Application Firewall) - комплексная защита интернет-магазинов, порталов, API и других веб-приложений от хакерских атак на основе машинного обучения Nemesida® AI.

Комбинированный анализ на основе сигнатур и машинного обучения позволяет блокировать различные типы атак: Injection, XSS, XXE, Information Leakage, Path Traversal, Open Redirect, Web Shell, HTTP Response Splitting, RFI/LFI, Server-Side Request Forgery, атаки методом перебора (в том числе распределенные), атаки «нулевого дня»

Nemesida WAF предоставляется в виде Standalone версий, отлично масштабируется, не имеет ограничений по количеству виртуальных хостов и трафику, а вспомогательные модули в виде сканера уязвимостей и системы виртуального патчинга сделают работу с веб-приложением максимально безопасным. Узнать больше о возможностях Nemesida WAF.