Аудит безопасности веб-приложений
Отношение к сетевой безопасности делит компании на 2 типа: первые ею пока пренебрегают, а у вторых уже есть горький опыт. Будьте третьими – теми, кто учится на чужих ошибках и вовремя избавляется от уязвимостей сайта. Прежде всего – в веб-приложениях, ведь именно они чаще всего становятся объектом успешных атак хакеров. Первый шаг к тому, чтобы не пополнять печальную статистику, – комплексный аудит безопасности.
01
Согласование ТЗ
В первую очередь – глубины и методов анализа. Мы готовы к любым условиям: от «черного ящика», при котором пентестер располагает только общедоступной информацией о цели аудита сайта, до изучения исходного кода. На тестовом стенде или основном сервере. В каждом из этих случаев неразглашение конфиденциальных данных гарантировано условиями договора.
02
Сбор информации
От непосредственного взаимодействия с веб-приложением и подключенными сервисами до изучения github-аккаунтов сотрудников и даже вакансий. Именно так и работают взломщики – используют все возможности, чтобы узнать как можно больше о технологиях и внутренних инструментах компании.
03
Имитация атаки
Наша задача – проверить все точки входа и найти слабые места. Уязвимые объекты могут быть связаны с инфраструктурой и логикой веб-приложения, аутентификацией, контролем доступа, управлением сессиями и входными данными. В нашем арсенале любые методы: от подбора паролей до SQL-инъекций.
04
Составление отчета
Процедура включает не только список найденных уязвимостей и сценариев компрометирования веб-приложения, но и мер, которые необходимо предпринять. Такой отчет – ключ к повышению уровня информационной безопасности.