Аудит безопасности сайта

Самый мощный инструмент для обеспечения информационной безопасности Вашего сайта

Комплексный аудит сайта на наличие уязвимостей

Комплекс работ по обеспечению максимальной безопасности Вашего сайта


Аудит безопасности сайта - является самым мощным инструментом для обеспечения информационной безопасности ресурса.

Аудит сайта на наличие уязвимостей - это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт.


Главная цель аудита безопасности сайта

  • Обеспечение информационной безопасности исследуемого сайта

Основная задача аудита безопасности сайта

  • заблаговременное обнаружение всех уязвимостей сайта, для предупреждения и предотвращения взлома и хакерских атак.

Основные работы, включенные в комплексный аудит безопасности сайта

Исследование проводится по активному сайту, работающего в Сети Интернет, и позволяет максимально полно оценить уровень безопасности ресурса.
В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс.
Способы обнаружения уязвимостей при тестировании сайта в «рабочем режиме», полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.

Исследование частей кода сайта является необходимым условием для проведения комплексного аудита безопасности, в тех случаях, когда тестирование в «рабочем режиме» не может дать однозначного ответа на наличие уязвимости в определенном скрипте/модуле/разделе и т.п. сайта.
В качестве примера можно привести признаки наличия уязвимости, в определенном скрипте сайта, возможность эксплуатации которой ставиться под сомнение. В таком случае исследуется «проблемная» часть кода скрипта для точного определения наличия или отсутствия угрозы.

Большинство сайтов используют в своей работе компоненты сторонних разработчиков, такие как медиаплееры, слайдеры, Wysiwing редакторы и т.п.
Проблемы безопасности этих компонентов могут стать критичными для всего ресурса сайта в целом.
Исследование безопасности таких компонентов является неотъемлемой частью комплексного аудита безопасности сайта.

Проверка системы управления сайтом CMS, Framework и т.п. на наличие готовых решений, эксплуатирующих те или иные уязвимости, в случае их существования.

Проверка корректной публикации сайта. Нередко в открытом доступе оказываются файлы резервного копирования, системные, тестовые и прочие файлы, содержащие конфиденциальную информацию. Открытый доступ к таким файлам напрямую угрожает безопасности сайта.

Проверка корректной настройки серверного программного обеспечения. Исследование доступности серверного программного обеспечения к публичным методам и способам взлома и атак. Исследование безопасности портов сервера. Прочие исследования безопасности сервера.

  • вирусов
  • троянских программ
  • шеллов, веб-шеллов, бэкдоров и т.п.
  • несанкционированного обфусцированного кода
  • хакерских «врезок» в код сайта, обеспечивающих загрузку нежелательного ПО на сервер
  • прочего вредоносного кода на сайте
  • RCE - Remote code execution
  • SQL инъекции
  • PHP инъекции
  • CRLF инъекции
  • Инъекции в LDAP
  • Directory Traversal Attack
  • Remote File Include (RFI)
  • Local File Include (LFI)
  • SSRF - Server Side Request Forgery
  • XSS - Cross Site Scripting
  • CSRF - Cross-Site Request Forgery
  • File Upload
  • Комбинированные техники и методы взлома и атак на сайт
  • Обход авторизации административной панели сайта
  • Нестандартные техники и методы взлома и атак на сайт
  • Прочие ошибки выполнения скриптов
  • Утечка информации
  • Уязвимости, не способные прямо привести к взлому сайта, но позволяющие злоумышленникам использовать сайт и его ресурсы в собственных целях, таких как рассылка спама, размещение «черных» SEO элементов и т.п.

Этапы выполнения работ

  • На первом этапе работ выполняется поиск и устранение вредоносного кода сайте. (при необходимости)
  • На втором этапе работ проводится аудит безопасности сайта в «рабочем режиме».
  • На третьем этапе работ проводится частичное или полное исследование кода тестируемого сайта.
  • На четвертом этапе работ проводится аудит безопасности сторонних компонентов сайта, проверяется система управления сайтом CMS, Framework и т.п. на наличие готовых решений, эксплуатирующих те или иные уязвимости, в случае их существования.
  • На пятом этапе работ исследуется безопасность серверного программного обеспечения.
  • На шестом этапе работ составляется отчет по результату аудита информационной безопасности сайта, осуществляет согласование предложений по устранению уязвимостей. В случае необходимости, согласовываются планы мероприятий последующих этапов сотрудничества.
  • На седьмом этапе работ устраняются все обнаруженные уязвимости, устанавливается защита на сайт.


Итоговый отчет по результатам аудита безопасности сайта

По итогам аудита безопасности сайта, предоставляется отчет, в котором дается точная оценка безопасности тестируемого сайта, соответствующая уровню угроз найденных уязвимостей. Отчет содержит максимально полную информацию о всех найденных уязвимостях сайта, программного обеспечения сервера, обнаруженных сбоях работы скриптов, общих ошибках сайта и т.п., с конкретными рекомендациями по их устранению.


Устранение уязвимостей

  • Уязвимости устраняются специалистами компании inSafety.
  • Заказчик самостоятельно устраняет уязвимости, руководствуясь итоговым отчетом.


Гарантии

  • Компания inSafety гарантирует защиту сайта от взлома в течении 6и месяцев, при условии целостности кода сайта после устранения уязвимостей.
  • Компания inSafety гарантирует 100% работоспособности всех найденных уязвимостей, методик взлом и атак на тестируемых ресурсах.
  • Компания inSafety гарантирует сохранение конфиденциальности информации, предоставленной заказчиком аудита безопасности сайта.
  • Компания inSafety гарантирует нераспространение любой конфиденциальной информации, полученной в процессе оказания услуг.

Условия предоставления услуги

  • Заказчик услуги, предоставляет гарантии, что является владельцем ресурса, либо уполномоченным лицом собственника сайта.
  • Заказчик услуги предоставляет все учетные данные доступа (FTP или SSH,доступы к административной панели и БД сайта и т.д.).


Стоимость услуги

Стоимость услуги "Комплексный аудит безопасности сайта" рассчитывается индивидульно, исходя из:

  • Набора услуг, включенных в комлексный аудит безопасности сайта
  • Платформы (CMS), на которой работает сайт. (Bitrix, WordPress, NetCat, Joomla!, различные Framework, самописные сайты и т.п.)
  • Объема исследуемого сайта, и как следствие кличества работ и времени, затраченного на выполнение услуги
  • Программного обеспечения сервера, на котором базируется сайт
  • Прочих условий и требований к аудиту безопасности сайта, которые могут повлиять на конечную стоимость услуги

Вы можете заказать оценку стоимости комплексного аудита безопасности Вашего сайта:

Специалисты нашей компании проведут оценку Вашего сайта и предоставят адресное коммерческое предложение, с указанием включенных работ, срока выполнения и конечной стоимости услуги комплексного аудита безопасности сайта.

Запрос стоимости аудита безопасности сайта


Если у Вас есть вопросы по аудиту безопасности сайта, свяжитесь с нами!

Специалисты компании inSafety оперативно ответят на все возникшие вопросы.

Вопрос по аудиту безопасности сайта

Наши специалисты постараются ответить на Ваш вопрос в кратчайшее время.

CAPTCHA code

Запрос стоимости аудита безопасности сайта

Специалисты нашей компании свяжутся с Вами в ближайшее время

CAPTCHA code