Наша компания осуществит проверку сайта на уязвимости путем тестирования на проникновение. Основная специализация нашей компании — выявление уязвимостей веб-приложений.

Наши сотрудники отмечены в «залах славы» компаний Yandex, MailRU, Google, IBM, Toyota, Mozilla, Telegraph (Telegram), Sony, Adobe; являются контрибьюторами и членами международного консорциума OWASP (Open Web Application Security Project); в 4 из 5 тестирований выявляются сверхкритичные уязвимости; наши практические навыки подтверждены сертификатами CEH/OSCP/OSWE.

Совокупность этих факторов позволяет нам быть одной из лучших команд в РФ по веб-безопасности.

Анализ защищенности веб-приложения

Целью тестирования на проникновение веб-приложения является оценка возможности преодоления механизмов защиты информации потенциальным внешним злоумышленником и осуществления им несанкционированного доступа.
Поиск уязвимостей производится на основе собранной информации о целевой системе и выполняется как «вручную», так и с использованием автоматизированных средств.

«Ручной» поиск уязвимостей выполняется путем применения специализированных скриптов и программ, и последующего анализа реакции целевых сервисов на сгенерированные запросы. В качестве инструментария используется Burp Suite Pro,  OWASP ZAP, Fiddler.

Автоматизированный поиск уязвимостей выполнялся с применением следующих сканеров уязвимостей: Burp Suite Enterprise, Nessus, Nestparker, Acunetix, w3af.

В части анализа защищенности web-приложения особое внимание уделяется поиску уязвимостей из перечня OWASP TOP 10, таких как:

• A1 Внедрение кода;
• A2 Некорректная аутентификация и управление сессией;
• A3 Утечка чувствительных данных;
• A4 Внедрение внешних XML- сущностей (XXE);
• A5 Нарушение контроля доступа;
• A6 Небезопасная конфигурация;
• A7 Межсайтовый скриптинг;
• A8 Небезопасная десериализация;
• A9 Использование компонентов с известными уязвимостями;
• A10 Отсутствие журналирования и мониторинга;

Выявляем некорректную обработку пользовательского ввода, которая позволяет проводить следующие виды атак:

• Внедрение операторов языка SQL (англ. SQL injection);
• Включение локальных и удаленных файлов (англ. LFI/RFI);
• Внедрение кода на языке, интерпретируемом на стороне клиента (XSS);
• Внедрение команд, интерпретируемых средой выполнения (Eval injection);
• Внедрение команд, интерпретируемых ОС сервера (OS command injection);
• Внедрение SMTP-команд;
• Внедрение директив SSI;
• Внедрение конструкций языка запросов LDAP;
• Внедрение конструкций языка запросов XPath/XQuery;
• Внедрение разметки на языке XML;
• Внедрение заголовков (англ. Header Injection), в том числе позволяющие разделить HTTP-ответ;
• Подключение внешних XML-сущностей (XML External Entity);
• Прочие атаки, целью которых является выполнение кода на стороне сервера.
• Небезопасная реализация загрузки пользовательских файлов на сервер (Unrestricted Upload of File with Dangerous Type).
• Отсутствие проверки или некорректная проверка привилегий пользователя при доступе к закрытым функциям или ресурсам (Insufficient Authorization).
• Ошибки в протоколе проверки подлинности пользователей (Insufficient authentication).
• Уязвимости в процедуре восстановления доступа при утери учетных данных (Insufficient password recovery).
• Уязвимости в организации безопасного соединения (Insufficient Transport Layer Protection).
• Уязвимости, связанные с некорректным управлением сеансами (Insufficient Session Expiration).
• Возможность несанкционированного выполнения запросов от имени пользователей (Cross-Site Request Forgery, CSRF).
• Возможность вызвать отказ в обслуживании (Denial of Service) без применения методов множественной посылки запросов.
• Некорректная обработка исключительных ситуаций, приводящая к утечке информации о приложении или личной информации пользователей (Information Leakage).
• Обеспечение конфиденциальности данных при обработке, хранении и передаче (включая защиту от атак класса MITM).
• Использование криптографических средств для защиты чувствительной информации (например, пользовательских данных и аутентификационной информации).
• Обеспечение безопасности транзакций, включая: контроль целостности транзакций; контроль доступа; механизмы аутентификации (включая атаки класса brute-force).
• Прочие ошибки, позволяющие изменить логику работы веб-приложения.
• Поиск учетных данных для доступа к внешним ресурсам в публичных источниках информации.

Автоматизированный анализ функционирования компонентов веб-приложения – производится сканирование веб-ресурсов автоматизированными средствами с целью выявления существующих уязвимостей.

Эксплуатация уязвимостей. По результатам сбора и анализа данных о целевых веб-приложениях выполняется эксплуатация выявленных уязвимостей.

По итогам всех работ составляется детальный отчет, содержащий описание уязвимости, пример эксплуатации, сценарий атаки и рекомендации.