add

Пентест сайта Заказать сейчас

Тестирование на проникновение (пентест) сайта

Современный сайт — система со сложной архитектурой, содержащая в среднем 20 уязвимостей, которые могут быть использованы атакующими. 62% сайтов подвержены уязвимостям со средним или высоким уровнем риска.

На корпоративном сайте или на сайте госведомства необходимо обеспечить защиту от искажения, уничтожения общедоступной информации или блокирования доступа к ней. Чтобы предотвратить такие неправомерные действия, нужно регулярно анализировать защищенность сайтов и контролировать использование средств защиты. Ведь сейчас фактически любой веб-сервис — это открытое окно в системы организаций. Контроль защищенности веб-сайтов государственных организаций, операторов ГИС и КИИ является обязательным.

Цель тестирования на проникновение — составить перечень уязвимостей, которые может использовать злоумышленник, и проверить возможность их реализации.

Что будет сделано:

  • сбор информации и первичный анализ;
  • тест конфигурации;
  • тест системы аутентификации;
  • тест механизма авторизации;
  • тест механизма управления сессиями;
  • проверка альтернативных способов разграничения доступа;
  • тест защищенности транспортного уровня;
  • тест обработки передаваемых данных;
  • тест механизмов безопасности клиентской части.

Полный перечень работ зависит от начальных данных и задания на пентест.

Варианты выполнения

Black box - пентестер имеет общее представление об атакуемом объекте из открытых источников. Имитирует действия злоумышленников.

Gray box - пентестер обладает знаниями об атакуемом объекте. При этом уровень и глубину этих знаний определяет заказчик. Имитирует действия злоумышленников.

White box – пентестер обладает правами доступа администратора и имеет полное представление об инфраструктуре объекта атаки. Имитирует действия злоумышленников.

Этапы работ

Сбор информации — сбор данных о заказчике в открытых источниках, о допусках сотрудников.

Поиск технической базы — определение и сбор данных о техническом и программном оснащении.

Анализ уязвимостей и угроз — обнаружение уязвимостей в системах безопасности и программном обеспечении с применением специализированных программ и утилит.

Эксплуатация и обработка данных — имитация реальной атаки злоумышленников для получения сведений об имеющихся уязвимостях с целью последующего анализа, а так же сбор данных о возможных сроках взлома системы и расчета экономических рисков.

Формирование отчета — результатом проведения пентеста будет перечень выявленных уязвимостей, ошибок настройки средств защиты с подробным описанием причин возникновения, вероятности и последствий эксплуатации, оценкой критичности и вероятных экономических потерь, рекомендации по устранению.