Пентест сайта Заказать сейчас
Тестирование на проникновение (пентест) сайта
Современный сайт — система со сложной архитектурой, содержащая в среднем 20 уязвимостей, которые могут быть использованы атакующими. 62% сайтов подвержены уязвимостям со средним или высоким уровнем риска.
На корпоративном сайте или на сайте госведомства необходимо обеспечить защиту от искажения, уничтожения общедоступной информации или блокирования доступа к ней. Чтобы предотвратить такие неправомерные действия, нужно регулярно анализировать защищенность сайтов и контролировать использование средств защиты. Ведь сейчас фактически любой веб-сервис — это открытое окно в системы организаций. Контроль защищенности веб-сайтов государственных организаций, операторов ГИС и КИИ является обязательным.
Цель тестирования на проникновение — составить перечень уязвимостей, которые может использовать злоумышленник, и проверить возможность их реализации.
Что будет сделано:
- сбор информации и первичный анализ;
- тест конфигурации;
- тест системы аутентификации;
- тест механизма авторизации;
- тест механизма управления сессиями;
- проверка альтернативных способов разграничения доступа;
- тест защищенности транспортного уровня;
- тест обработки передаваемых данных;
- тест механизмов безопасности клиентской части.
Полный перечень работ зависит от начальных данных и задания на пентест.
Варианты выполнения
Black box - пентестер имеет общее представление об атакуемом объекте из открытых источников. Имитирует действия злоумышленников.
Gray box - пентестер обладает знаниями об атакуемом объекте. При этом уровень и глубину этих знаний определяет заказчик. Имитирует действия злоумышленников.
White box – пентестер обладает правами доступа администратора и имеет полное представление об инфраструктуре объекта атаки. Имитирует действия злоумышленников.
Этапы работ
Сбор информации — сбор данных о заказчике в открытых источниках, о допусках сотрудников.
Поиск технической базы — определение и сбор данных о техническом и программном оснащении.
Анализ уязвимостей и угроз — обнаружение уязвимостей в системах безопасности и программном обеспечении с применением специализированных программ и утилит.
Эксплуатация и обработка данных — имитация реальной атаки злоумышленников для получения сведений об имеющихся уязвимостях с целью последующего анализа, а так же сбор данных о возможных сроках взлома системы и расчета экономических рисков.
Формирование отчета — результатом проведения пентеста будет перечень выявленных уязвимостей, ошибок настройки средств защиты с подробным описанием причин возникновения, вероятности и последствий эксплуатации, оценкой критичности и вероятных экономических потерь, рекомендации по устранению.