Тарифный план предназначен для регламентной проверки ресурса (обычно ежеквартальной, согласно рекомендациям стандарта PCI DSS) на наличие уязвимостей, относящихся к ошибкам конфигурации; утечкам; уязвимостям, к которым существуют публичные эксплойты. Также в рамках этого тарифа проверяются учетные записи технического персонала и пользователей системы на устойчивость к атакам перебора по словарю. Словарь для перебора содержит актуальные и часто используемые пароли. По тестируемому приложению будет составлен сценарий для автоматического комплекса, включающий особенности тестируемого ресурса (платформа, области для применения атак по словарю, критичные зоны, места взаимодействия с внешними сервисами и коннекторами). При каждом новом тестировании будет создаваться карта приложения (для поиска новых объектов) – фаззинг директорий и файлов. По окончанию аудита предоставляется стандартный отчет с выявленными уязвимостями и рекомендациями по их устранению. Данный тарифный план рекомендуется к применению после аудита по тарифному плану «Эксперт». Рекомендуется проводить сканирование в автоматическом режиме с периодичностью раз в квартал.

Аудит ресурса (веб-компонентов и веб-окружения) производится методом «BlackBox» и включает следующие этапы:

• Пассивный сбор информации;
• Определение веб-окружения;
• Определение платформы;
• Определение типа CMS;
• Сканирование портов;
• Сбор баннеров / поиск публичных эксплойтов;
• Автоматическое сканирование;
• Анализ данных;
• Определение «узких мест» ресурса;
• Ручной анализ в пассивном режиме;
• Сбор и анализ полученной информации;
• Анализ векторов атаки;
• Подтверждение полученных векторов;
• Составление отчета.

В процессе аудита сайта выполняются следующие действия над тестируемым ресурсом:

• Поиск уязвимостей серверных компонентов;
• Поиск уязвимостей в веб-окружении сервера;
• Проверка на удаленное выполнение произвольного кода;
• Проверка на наличие переполнений;
• Проверка на наличие инъекций (внедрение кода);
• Попытки обхода системы аутентификации веб-ресурса;
• Проверка веб-ресурса на наличие XSS / CSRF уязвимостей;
• Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
• Попытки произвести Remote File Inclusion / Local File Inclusion;
• Поиск компонентов с известными уязвимостями;
• Проверка на перенаправление на другие сайты и открытые редиректы;
• Сканирование директорий и файлов, используя перебор и «google hack»;
• Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
• Атаки класса race condition;
• Подбор паролей.

По окончании аудита предоставляется детальный отчет с выявленными уязвимостями, рекомендациями по устранению, примерами атак и описаниями возможных сценариев проникновения.

Nemesida Web Application Firewall (WAF) позволяет блокировать атаки на веб-сайт, обеспечивая безопасность сайта в режиме 24/7 даже в случае наличия уязвимостей нулевого дня. Кроме этого, облачная версия сервиса обеспечивает защиту от DDoS-атак, инструментов сканирования на уязвимости и вредоносных ботов. При сравнительно невысокой стоимости Nemesida WAF позволяет обеспечить полноценную безопасность сайта любого масштаба, значительно сэкономив на стоимости дополнительных услуг ИБ, а также устранить риски, связанные с атаками на веб-сайт.

Особенности:

• Комплексный метод защиты
• Защита от множества категорий атак: SQL injection, Cross-site Scripting (XSS), Local\Remote File Include и прочих
• Защита от эксплойтов популярных CMS
• Защита от сканирования сайта на уязвимости
• Защита от DDoS-атак, инструментов сканирования и вредоносных ботов
• Круглосуточное реагирование на инциденты
• Ежемесячный отчет