Комплексный аудит сайта на наличие уязвимостей
Комплекс работ по обеспечению максимальной безопасности Вашего сайта
Аудит сайта на наличие уязвимостей – это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшись которыми, злоумышленники могут атаковать и взломать сайт.
Главная цель аудита безопасности сайта
-
Обеспечение информационной безопасности исследуемого сайта.
Основная задача аудита безопасности сайта
-
Заблаговременное обнаружение всех уязвимостей сайта для предупреждения и предотвращения взлома и хакерских атак.
Основные работы, включенные в комплексный аудит безопасности сайта
Исследование проводится по активному сайту, работающему в Сети Интернет, и позволяет максимально полно оценить уровень безопасности ресурса.
В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс.
Способы обнаружения уязвимостей при тестировании сайта в рабочем режиме полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.
Исследование частей кода сайта является необходимым условием для проведения комплексного аудита безопасности в тех случаях, когда тестирование в рабочем режиме не может дать однозначного ответа на наличие уязвимости в определенном скрипте/модуле/разделе и т.п. сайта.
В качестве примера можно привести признаки наличия уязвимости в определенном скрипте сайта, возможность эксплуатации которой ставится под сомнение. В таком случае исследуется «проблемная» часть кода скрипта для точного определения наличия или отсутствия угрозы.
Большинство сайтов используют в своей работе компоненты сторонних разработчиков, такие как медиаплееры, слайдеры, Wysiwing редакторы и т.п.
Проблемы безопасности этих компонентов могут стать критичными для всего ресурса сайта в целом.
Исследование безопасности таких компонентов является неотъемлемой частью комплексного аудита безопасности сайта.
Проверка корректной публикации сайта. Нередко в открытом доступе оказываются файлы резервного копирования, системные, тестовые и прочие файлы, содержащие конфиденциальную информацию. Открытый доступ к таким файлам напрямую угрожает безопасности сайта.
Проверка корректной настройки серверного программного обеспечения. Исследование доступности серверного программного обеспечения к публичным методам и способам взлома и атак. Исследование безопасности портов сервера. Прочие исследования безопасности сервера.
Поиск и устранение вредоносного кода на сайте
троянских программ;
шеллов, веб-шеллов, бэкдоров и т.п.;
несанкционированного обфусцированного кода;
хакерских «врезок» в код сайта, обеспечивающих загрузку нежелательного ПО на сервер;
прочего вредоносного кода на сайте.
Основные угрозы безопасности
SQL-инъекции.
PHP-инъекции.
CRLF-инъекции.
Инъекции в LDAP.
Directory Traversal Attack.
Remote File Include (RFI).
Local File Include (LFI).
SSRF – Server Side Request Forgery.
XSS – Cross Site Scripting.
CSRF – Cross-Site Request Forgery.
File Upload.
Комбинированные техники и методы взлома и атак на сайт.
Обход авторизации административной панели сайта.
Нестандартные техники и методы взлома и атак на сайт.
Прочие ошибки выполнения скриптов.
Утечка информации.
Уязвимости, не способные прямо привести к взлому сайта, но позволяющие злоумышленникам использовать сайт и его ресурсы в собственных целях, таких как рассылка спама, размещение «черных» SEO-элементов и т.п.
Этапы выполнения работ
- Поиск вредоносного кода на сайте и его устранение (при необходимости).
- Аудит безопасности сайта в рабочем режиме.
- Частичное или полное исследование кода тестируемого сайта.
- Аудит безопасности сторонних компонентов сайта, проверка системы управления сайтом CMS, Framework и т.п. на наличие готовых решений, эксплуатирующих те или иные уязвимости, в случае их существования.
- Исследование безопасности серверного программного обеспечения.
- Составление отчета по результатам аудита информационной безопасности сайта, согласование предложений по устранению уязвимостей.
- Устранение всех обнаруженных уязвимостей, установка защиты на сайт.
Итоговый отчет по результатам аудита безопасности сайта
По итогам аудита безопасности сайта предоставляется отчет, в котором дается точная оценка безопасности тестируемого сайта, соответствующая уровню угроз найденных уязвимостей. Отчет содержит максимально полную информацию обо всех найденных уязвимостях сайта, программного обеспечения сервера, обнаруженных сбоях работы скриптов, общих ошибках сайта и т.п., с конкретными рекомендациями по их устранению.
Варианты устранения уязвимостей
-
Уязвимости устраняются специалистами компании «Интех».
Заказчик самостоятельно устраняет уязвимости, руководствуясь итоговым отчетом.
Гарантии
-
Компания «Интех» гарантирует защиту сайта от взлома в течении 6 месяцев, при условии целостности кода сайта после устранения уязвимостей.
Компания «Интех» гарантирует 100% работоспособности всех найденных уязвимостей, методик взлом и атак на тестируемых ресурсах.
Компания «Интех» гарантирует сохранение конфиденциальности информации, предоставленной заказчиком аудита безопасности сайта.
Компания «Интех» гарантирует нераспространение любой конфиденциальной информации, полученной в процессе оказания услуг.
Условия предоставления услуги
-
Заказчик услуги предоставляет гарантии того, что является владельцем ресурса либо уполномоченным лицом собственника сайта.
Заказчик услуги предоставляет все учетные данные доступа (FTP или SSH,доступы к административной панели и БД сайта и т.д.).
Стоимость услуги
Стоимость услуги «Комплексный аудит безопасности сайта» рассчитывается индивидуально, исходя из:
-
Набора услуг, включенных в комлексный аудит безопасности сайта.
Платформы (CMS), на которой работает сайт (Bitrix, WordPress, NetCat, Joomla!, различные Framework, самописные сайты и т.п.).
Объема исследуемого сайта, и как следствие кличества работ и времени, затраченного на выполнение услуги.
Программного обеспечения сервера, на котором базируется сайт.
Прочих условий и требований к аудиту безопасности сайта, которые могут повлиять на конечную стоимость услуги.
Вы можете заказать оценку стоимости комплексного аудита безопасности Вашего сайта. Специалисты нашей компании проведут оценку Вашего сайта и предоставят адресное коммерческое предложение, с указанием включенных работ, срока выполнения и конечной стоимости услуги комплексного аудита безопасности сайта.
Начните сотрудничество с индивидуальной консультации по подбору инструментов и услуг.
|
Заказать услугу
|