Аудит безопасности сайта
Наша компания осуществит проверку сайта на уязвимости путем тестирования на проникновение. Основная специализация нашей компании — выявление уязвимостей веб-приложений.
Наши сотрудники отмечены в «залах славы» компаний Yandex, MailRU, Google, IBM, Toyota, Mozilla, Telegraph (Telegram), Sony, Adobe; являются контрибьюторами и членами международного консорциума OWASP (Open Web Application Security Project); в 4 из 5 тестирований выявляются сверхкритичные уязвимости; наши практические навыки подтверждены сертификатами CEH/OSCP/OSWE.
Совокупность этих факторов позволяет нам быть одной из лучших команд в РФ по веб-безопасности.
Анализ защищенности веб-приложения
Целью тестирования на проникновение веб-приложения является оценка возможности преодоления механизмов защиты информации потенциальным внешним злоумышленником и осуществления им несанкционированного доступа.
Поиск уязвимостей производится на основе собранной информации о целевой системе и выполняется как «вручную», так и с использованием автоматизированных средств.
«Ручной» поиск уязвимостей выполняется путем применения специализированных скриптов и программ, и последующего анализа реакции целевых сервисов на сгенерированные запросы. В качестве инструментария используется Burp Suite Pro, OWASP ZAP, Fiddler.
Автоматизированный поиск уязвимостей выполнялся с применением следующих сканеров уязвимостей: Burp Suite Enterprise, Nessus, Nestparker, Acunetix, w3af.
В части анализа защищенности web-приложения особое внимание уделяется поиску уязвимостей из перечня OWASP TOP 10, таких как:
- A1 Внедрение кода;
- A2 Некорректная аутентификация и управление сессией;
- A3 Утечка чувствительных данных;
- A4 Внедрение внешних XML- сущностей (XXE);
- A5 Нарушение контроля доступа;
- A6 Небезопасная конфигурация;
- A7 Межсайтовый скриптинг;
- A8 Небезопасная десериализация;
- A9 Использование компонентов с известными уязвимостями;
- A10 Отсутствие журналирования и мониторинга;
Выявляем некорректную обработку пользовательского ввода, которая позволяет проводить следующие виды атак:
- Внедрение операторов языка SQL (англ. SQL injection);
- Включение локальных и удаленных файлов (англ. LFI/RFI);
- Внедрение кода на языке, интерпретируемом на стороне клиента (XSS);
- Внедрение команд, интерпретируемых средой выполнения (Eval injection);
- Внедрение команд, интерпретируемых ОС сервера (OS command injection);
- Внедрение SMTP-команд;
- Внедрение директив SSI;
- Внедрение конструкций языка запросов LDAP;
- Внедрение конструкций языка запросов XPath/XQuery;
- Внедрение разметки на языке XML;
- Внедрение заголовков (англ. Header Injection), в том числе позволяющие разделить HTTP-ответ;
- Подключение внешних XML-сущностей (XML External Entity);
- Прочие атаки, целью которых является выполнение кода на стороне сервера.
- Небезопасная реализация загрузки пользовательских файлов на сервер (Unrestricted Upload of File with Dangerous Type).
- Отсутствие проверки или некорректная проверка привилегий пользователя при доступе к закрытым функциям или ресурсам (Insufficient Authorization).
- Ошибки в протоколе проверки подлинности пользователей (Insufficient authentication).
- Уязвимости в процедуре восстановления доступа при утери учетных данных (Insufficient password recovery).
- Уязвимости в организации безопасного соединения (Insufficient Transport Layer Protection).
- Уязвимости, связанные с некорректным управлением сеансами (Insufficient Session Expiration).
- Возможность несанкционированного выполнения запросов от имени пользователей (Cross-Site Request Forgery, CSRF).
- Возможность вызвать отказ в обслуживании (Denial of Service) без применения методов множественной посылки запросов.
- Некорректная обработка исключительных ситуаций, приводящая к утечке информации о приложении или личной информации пользователей (Information Leakage).
- Обеспечение конфиденциальности данных при обработке, хранении и передаче (включая защиту от атак класса MITM).
- Использование криптографических средств для защиты чувствительной информации (например, пользовательских данных и аутентификационной информации).
- Обеспечение безопасности транзакций, включая: контроль целостности транзакций; контроль доступа; механизмы аутентификации (включая атаки класса brute-force).
- Прочие ошибки, позволяющие изменить логику работы веб-приложения.
- Поиск учетных данных для доступа к внешним ресурсам в публичных источниках информации.
Автоматизированный анализ функционирования компонентов веб-приложения – производится сканирование веб-ресурсов автоматизированными средствами с целью выявления существующих уязвимостей.
Эксплуатация уязвимостей. По результатам сбора и анализа данных о целевых веб-приложениях выполняется эксплуатация выявленных уязвимостей.
По итогам всех работ составляется детальный отчет, содержащий описание уязвимости, пример эксплуатации, сценарий атаки и рекомендации.