Аудит безопасности веб-приложений

Отношение к сетевой безопасности делит компании на 2 типа: первые ею пока пренебрегают, а у вторых уже есть горький опыт. Будьте третьими – теми, кто учится на чужих ошибках и вовремя избавляется от уязвимостей сайта. Прежде всего – в веб-приложениях, ведь именно они чаще всего становятся объектом успешных атак хакеров. Первый шаг к тому, чтобы не пополнять печальную статистику, – комплексный аудит безопасности.

Когда нужно одержать победу над злоумышленниками, приходится действовать их же методами. Смоделировать атаку взломщика, то есть пытаться получить несанкционированный доступ к конфиденциальной информации. Но не в преступных целях, а чтобы отыскать и закрыть потенциальные «лазейки». Не только внутренние, но и связанные со сторонними сервисами. Для сравнения рассмотрим действия пентестера (тестировщика на проникновение) и злоумышленника.

Задачи хакера:

• Взлом и получение конфиденциальной информации ресурса.
• Выведение веб-сайта из строя по заказу конкурентов или из хулиганских побуждений.
• Монетизация, вымогательство денег.

Цели пентестера (тестировщика):

• Анализ и проверка безопасности приложений.
• Обнаружение и оценка уязвимостей веб-приложений.
• Имитация действий хакера (с согласия владельца сайта).
• Предоставление информации заказчику о направлениях атаки и оценка возможных рисков.
• Предоставление рекомендаций по устранению слабых мест, не защищенных от проникновения взломщиков, и общему улучшению информационной безопасности.

Последовательность действий при аудите безопасности приложений

Каждый случай индивидуален, но обычно аудит приложения включает 4 этапа:

1. Согласование ТЗ. В первую очередь – глубины и методов анализа. Мы готовы к любым условиям: от «черного ящика», при котором пентестер располагает только общедоступной информацией о цели аудита сайта, до изучения исходного кода. На тестовом стенде или основном сервере. В каждом из этих случаев неразглашение конфиденциальных данных гарантировано условиями договора.
2. Сбор информации. От непосредственного взаимодействия с веб-приложением и подключенными сервисами до изучения github-аккаунтов сотрудников и даже вакансий. Именно так и работают взломщики – используют все возможности, чтобы узнать как можно больше о технологиях и внутренних инструментах компании.
3. Имитация атаки. Наша задача – проверить все точки входа и найти слабые места. Уязвимые объекты могут быть связаны с инфраструктурой и логикой веб-приложения, аутентификацией, контролем доступа, управлением сессиями и входными данными. В нашем арсенале любые методы: от подбора паролей до SQL-инъекций.
4. Составление отчета. Процедура включает не только список найденных уязвимостей и сценариев компрометирования веб-приложения, но и мер, которые необходимо предпринять. Такой отчет – ключ к повышению уровня информационной безопасности.