Аудит безопасности интернет проекта и сайта

Аудит безопасности

Наши специалисты IT безопасности обладают широким спектром знаний и очень хорошо знакомы с проблемами интернет-безопасности у компаний.

За годы работы была накоплена большая база методологий и уязвимостей сайтов и корпоративных сетей, а уникальные программные комплексы позволяют находить скрытые уязвимости.

Мы готовы профессионально и качественно провести аудит вашего проекта (сети, сайта, сервера, кода).

По результатам аудита, подготавливается детальный отчет на русском/английском языках и используют такие стандарты как:
- HIPAA,
- ISO/IEC 27001,
- OWASP Top10 2017

После вашего ознакомления с отчетом, мы готовы помочь устранить найденные уязвимости и настроить ваш проект на максимальную безопасность.

Если вас интересует анализ кода проекта на ошибки и уязвимости, то и с этим можем помочь в услуге построчного анализа кода при помощи визуального анализа, а также специализированного ПО.

Также готовы взяться за сложные и нестандартные проекты, от которых отказались менее опытные специалисты.

Пентест для бизнеса

Большинство проверенных веб-ресурсов на сегодняшний момент имеют ряд серьезных уязвимостей и не отвечают современным требованиям к безопасности. Примерно половина всех обнаруженных уязвимостей была связана с так называемыми SQL инъекциями, еще 42% уязвимостей связаны с кросс- скриптинговыми уязвимостями (XSS, Cross Site Scripting), называемые также межсайтовым скриптингом, 7% уязвимостей связаны с раскрытием исходного кода серверного веб-приложения, которое непосредственно обращается к данным.

Безопасность онлайновых приложений становится одной из основных проблем для обеспечения не только безопасности веб-сайтов, но и множества корпоративных приложений, работающих через Интернет.

Данная оценка направлена на диагностику путей взлома систем, оценку защищенности веб-сайтов и веб-приложений,
а также анализ рисков при аудиторских проверках, при оценке безопасности организации. Базируясь на принципах конфиденциальности, доступности и целостности, оценка защищенности веб-ресурсов способствует обеспечению сохранности данных, учетных записей, доступов и подключений пользователей.

Основные работы, которые осуществляются при проведении аудита на защищенность веб-ресурсов:

- обнаружение уязвимостей, позволяющих несанкционировано получить доступ к закрытым областям веб-приложений;
- попытки модифицирования информации веб-сервисов;
- тестирование возможности внедрения и выполнения произвольного вредоносного программного кода;
- проверку на устойчивость к атакам SQL инъекциям, Cross Site Scripting, XSS и др.;
- анализ кода скриптов;
- обнаружение и выявление уязвимостей на операционных системах, на которых функционируют веб-сервера и веб-сервисы;
- предоставление отчета по найденным уязвимостям и рискам, а также рекомендаций по их устранению;
- проверка устойчивости к Dos/DDos атакам.

Методика:

При проведении аудита специалисты компании подвергают анализу как само веб-приложение, так и операционную систему, и базы данных.
При этом мы используем, как инструментальное сканирование, так и анализ вручную, что существенно повышает качество работ.
Инструментальный анализ предполагает сканирование веб-ресурса сканером уязвимости, а также другими специализированными приложениями.
Анализ вручную — второй вид сканирования, когда приложение разворачивается на выделенном сервере и специалисты проводят проверку данного приложения вручную, используя все возможные методы и атаки на приложения. После чего составляется детальный отчет о устойчивости приложений к тем либо иным атакам, включая атаки вида отказ в обслуживании.

Стандарты:

При проведении анализа защищенности используются персональные разработки наших специалистов, а также общепризнанные стандарты, и руководства по обеспечению информационной безопасности, Web Application Security Consortium (WASC) Threat Classification и Open Web Application Security Project (OWASP) Testing Guide.
При работе используются передовые инструментальные средства анализа защищенности, как свободно распространяемые, так и коммерческие.

Отчёт:

По окончанию работ заказчику предоставляется отчёт, в котором содержится общая оценка защищённости приложений и список найденных уязвимостей с их подробным описанием, демонстрационными примерами и рекомендациями по устранению.

Дополнительно предоставляемые услуги:

Анализ исходного кода приложения — эту работу выполняют высоко квалифицированные программисты, которые определяют безопасность написанного кода, отсутствие избыточности и установленных закладок.
Этот вид работ является необходимым, когда происходит внедрения систем, связанных с финансовыми транзакциями либо биллингом.

Заказать аудит безопасности