Анализ безопасности сайта

Данная услуга представляет собой глубокий анализ структуры сайта, включая все используемые дополнительные средства (базы данных и т.д.), конфигурацию программного обеспечения и процедуры управления сайтом на уязвимости, которые могут послужить причиной нарушения безопасности. Анализ включает в себя как использование автоматических средств анализа безопасности, так и ручную проверку (мы используем общеизвестные сканеры безопасности и собственные разработки по идентификации уязвимостей, определению возможности проведения атак на отказ в обслуживании, SQL-инъекций и других типов атак), а так-же попытку использования обнаруженных слабых мест и уязвимостей (по согласованию использование обнаруженных уязвимостей может не проводиться) — для того, чтобы наглядно показать, как злоумышленники могут воспользоваться обнаруженными брешами в защите.

В процессе исследования всех обнаруженных слабых мест в отчете фиксируются все собранные данные. В результате отчет содержит информацию обо всех уязвимостях сайта и детальные, приоретизированные рекомендации, по устранению уязвимостей и снижению рисков.

План работ по анализу сайта

В план работ входят три больших этапа:

Сбор информации

  • Работа с сайтом в режиме пользователя;
  • Сканирование на уязвимости;
  • Использование поисковых систем.

Проверка уязвимостей и слабых мест

  • Подбор паролей;
  • Атаки на клиентов Web-приложения (включая Cross-Site Scripting и Cross-Site Request Forgery);
  • Уязвимости, приводящие к выполнению кода (включая SQL Injection, OS Commanding, XML Injection);
  • Разглашение чувствительной информации;
  • Ошибки в реализации логики системы;
  • Ошибки в настройке приложений и серверов;
  • Ошибки в реализации функций аутентификации;
  • Ошибки в реализации функций авторизации и разграничения доступа;
  • Проверка иных обнаруженных уязвимостей.

Документирование выполненных работ и разработка рекомендаций

  • Документирование выполненных работ;
  • Описание уязвимостей и их ранжирование по степени риска;
  • Разработка детальных рекомендаций по устранению слабых мест и их приоретизация.

Применяемые стандарты

В ходе работ используются:

  • Открытая методика тестирования безопасности Open Source Security Testing Methodology Manual v 2.2 (OSSTMM)
    OSSTMM — это открытая методика проведения тестирования безопасности, в нашем анализе безопасности веб-сайтов в основном используются разделы Information Security (Section A) — сбор информации и Internet Technology Security (Section C) — активный анализ безопасности с использованием автоматизированных и ручных средств. Также мы используем общие указания данной методики по проведению анализа и созданию отчётов. Дополнительную информацию о OSSTMM можно найти на сайте организации ISECOM — www.isecom.org/osstmm/
    5843.08 кб
  • Классификация выявленных уязвимостей — WASC Threat Classification V2
    Данный документ представляет собой результат совместной работы специалистов по безопасности веб-приложений по классификации и описанию угроз для веб-приложений. Этот открытый стандарт позволяет специалистам по анализу веб-приложений и по их защите разговаривать на одном языке. Он полезен как и для исследователей безопасности, так и програмистам разработчикам веб-приложений. Дополнительную информацию о WASC Threat Classification можно найти на сайте организации WASC — www.webappsec.org
    6608.07 кб

Сроки проведения работ

Работа, в среднем, занимает от 5 до 15 рабочих дней с момента подписания договора, в котором обязательно присутствуют соответствующие пункты о сроках.

Формирование стоимости услуги

Стоимость работ зависит об большого количества факторов:

  1. Метод исследования сайта: ручной или автоматический режим;
  2. Используемые технологии при создании сайта (HTML, Flash, PHP, JavaScript, AJAX, Ruby, Python, ASP, MySQL, Postgres, Oracle);
  3. Какой web-сервер используется (и проводим ли мы тестирование сервера);
  4. Есть ли система управления у сайта и какого она размера (и проводим ли мы анализ системы управления);
  5. Какой «движок» у сайта («движок» обычно взаимосвязан с системой управления);
  6. С какими базами данных работает сайт и как (MySQL, Postgres, Oracle);
  7. Количество страниц на сайте;
  8. Количество «форм обратной связи, форм взаимодействия пользователя и сайта и т.п.»

Для уточнения стоимости можно позвонить по телефону (495) 507-45-14, написать на электронную почту mailbox@coldsight.ru или заполнить и отправить форму обратной связи:

Задавайте вопросы