тестирование на проникновение веб-приложений

Аудит безопасности сайта

Наша компания осуществит проверку сайта на уязвимости путем тестирования на проникновение. Основная специализация нашей компании – выявление уязвимостей веб-приложений.

Наши сотрудники отмечены в “залах славы” компаний Yandex, MailRU, Google, IBM, Toyota, Mozilla, Telegraph (Telegram), Sony, Adobe; являются контрибьюторами и членами международного консорциума OWASP (Open Web Application Security Project); в 4 из 5 тестирований выявляются сверхкритичные уязвимости; наши практические навыки подтверждены сертификатами CEH/OSCP/OSWE.

Совокупность этих факторов позволяет нам быть одной из лучших команд в РФ по веб-безопасности.

Анализ защищенности веб-приложения

Целью тестирования на проникновение веб-приложения является оценка возможности преодоления механизмов защиты информации потенциальным внешним злоумышленником и осуществления им несанкционированного доступа.
Поиск уязвимостей производится на основе собранной информации о целевой системе и выполняется как «вручную», так и с использованием автоматизированных средств.

«Ручной» поиск уязвимостей выполняется путем применения специализированных скриптов и программ, и последующего анализа реакции целевых сервисов на сгенерированные запросы. В качестве инструментария используется Burp Suite Pro,  OWASP ZAP, Fiddler.

Автоматизированный поиск уязвимостей выполнялся с применением следующих сканеров уязвимостей: Burp Suite Enterprise, Nessus, Nestparker, Acunetix, w3af.

В части анализа защищенности web-приложения особое внимание уделяется поиску уязвимостей из перечня OWASP TOP 10, таких как:

  • A1 Внедрение кода;
  • A2 Некорректная аутентификация и управление сессией;
  • A3 Утечка чувствительных данных;
  • A4 Внедрение внешних XML- сущностей (XXE);
  • A5 Нарушение контроля доступа;
  • A6 Небезопасная конфигурация;
  • A7 Межсайтовый скриптинг;
  • A8 Небезопасная десериализация;
  • A9 Использование компонентов с известными уязвимостями;
  • A10 Отсутствие журналирования и мониторинга;

Выявляем некорректную обработку пользовательского ввода, которая позволяет проводить следующие виды атак:

  • Внедрение операторов языка SQL (англ. SQL injection);
  • Включение локальных и удаленных файлов (англ. LFI/RFI);
  • Внедрение кода на языке, интерпретируемом на стороне клиента (XSS);
  • Внедрение команд, интерпретируемых средой выполнения (Eval injection);
  • Внедрение команд, интерпретируемых ОС сервера (OS command injection);
  • Внедрение SMTP-команд;
  • Внедрение директив SSI;
  • Внедрение конструкций языка запросов LDAP;
  • Внедрение конструкций языка запросов XPath/XQuery;
  • Внедрение разметки на языке XML;
  • Внедрение заголовков (англ. Header Injection), в том числе позволяющие разделить HTTP-ответ;
  • Подключение внешних XML-сущностей (XML External Entity);
  • Прочие атаки, целью которых является выполнение кода на стороне сервера.
  • Небезопасная реализация загрузки пользовательских файлов на сервер (Unrestricted Upload of File with Dangerous Type).
  • Отсутствие проверки или некорректная проверка привилегий пользователя при доступе к закрытым функциям или ресурсам (Insufficient Authorization).
  • Ошибки в протоколе проверки подлинности пользователей (Insufficient authentication).
  • Уязвимости в процедуре восстановления доступа при утери учетных данных (Insufficient password recovery).
  • Уязвимости в организации безопасного соединения (Insufficient Transport Layer Protection).
  • Уязвимости, связанные с некорректным управлением сеансами (Insufficient Session Expiration).
  • Возможность несанкционированного выполнения запросов от имени пользователей (Cross-Site Request Forgery, CSRF).
  • Возможность вызвать отказ в обслуживании (Denial of Service) без применения методов множественной посылки запросов.
  • Некорректная обработка исключительных ситуаций, приводящая к утечке информации о приложении или личной информации пользователей (Information Leakage).
  • Обеспечение конфиденциальности данных при обработке, хранении и передаче (включая защиту от атак класса MITM).
  • Использование криптографических средств для защиты чувствительной информации (например, пользовательских данных и аутентификационной информации).
  • Обеспечение безопасности транзакций, включая: контроль целостности транзакций; контроль доступа; механизмы аутентификации (включая атаки класса brute-force).
  • Прочие ошибки, позволяющие изменить логику работы веб-приложения.
  • Поиск учетных данных для доступа к внешним ресурсам в публичных источниках информации.

Автоматизированный анализ функционирования компонентов веб-приложения – производится сканирование веб-ресурсов автоматизированными средствами с целью выявления существующих уязвимостей.

Эксплуатация уязвимостей. По результатам сбора и анализа данных о целевых веб-приложениях выполняется эксплуатация выявленных уязвимостей.

По итогам всех работ составляется детальный отчет, содержащий описание уязвимости, пример эксплуатации, сценарий атаки и рекомендации.