Аудит безопасности сайта

Самый мощный инструмент для обеспечения информационной безопасности Вашего сайта

Комплексный аудит сайта на наличие уязвимостей

Комплекс работ по обеспечению максимальной безопасности Вашего сайта

За последнее время эту страницу посетили 1904 посетителей

Аудит безопасности сайта - является самым мощным инструментом для обеспечения информационной безопасности ресурса.

Аудит сайта на наличие уязвимостей - это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт.

Главная цель аудита безопасности сайта

Обеспечение информационной безопасности исследуемого сайта

Основная задача аудита безопасности сайта

заблаговременное обнаружение всех уязвимостей сайта, для предупреждения и предотвращения взлома и хакерских атак.

Основные работы, включенные в комплексный аудит безопасности сайта

Исследование безопасности сайта в рабочем режиме

Исследование проводится по активному сайту, работающего в Сети Интернет, и позволяет максимально полно оценить уровень безопасности ресурса.
В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс.
Способы обнаружения уязвимостей при тестировании сайта в «рабочем режиме», полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.

Частичное исследование кода тестируемого сайта

Исследование частей кода сайта является необходимым условием для проведения комплексного аудита безопасности, в тех случаях, когда тестирование в «рабочем режиме» не может дать однозначного ответа на наличие уязвимости в определенном скрипте/модуле/разделе и т.п. сайта.
В качестве примера можно привести признаки наличия уязвимости, в определенном скрипте сайта, возможность эксплуатации которой ставиться под сомнение. В таком случае исследуется «проблемная» часть кода скрипта для точного определения наличия или отсутствия угрозы.

Исследование безопасности сторонних компонентов сайта

Большинство сайтов используют в своей работе компоненты сторонних разработчиков, такие как медиаплееры, слайдеры, Wysiwing редакторы и т.п.
Проблемы безопасности этих компонентов могут стать критичными для всего ресурса сайта в целом.
Исследование безопасности таких компонентов является неотъемлемой частью комплексного аудита безопасности сайта.

Исследование безопасности системы управления сайтом

Проверка системы управления сайтом CMS, Framework и т.п. на наличие готовых решений, эксплуатирующих те или иные уязвимости, в случае их существования.

Исследование безопасности публикации сайта

Проверка корректной публикации сайта. Нередко в открытом доступе оказываются файлы резервного копирования, системные, тестовые и прочие файлы, содержащие конфиденциальную информацию. Открытый доступ к таким файлам напрямую угрожает безопасности сайта.

Исследование безопасности программного обеспечения и настроек сервера

Проверка корректной настройки серверного программного обеспечения. Исследование доступности серверного программного обеспечения к публичным методам и способам взлома и атак. Исследование безопасности портов сервера. Прочие исследования безопасности сервера.

Поиск и устранение вредоносного кода на сайте

вирусов
троянских программ
шеллов, веб-шеллов, бэкдоров и т.п.
несанкционированного обфусцированного кода
хакерских «врезок» в код сайта, обеспечивающих загрузку нежелательного ПО на сервер
прочего вредоносного кода на сайте

Основные угрозы безопасности

Remote Code Execution
SQL инъекции
PHP инъекции
CRLF инъекции
Инъекции в LDAP
Directory Traversal Attack

Remote File Include (RFI)
Local File Include (LFI)
SSRF - Server Side Request Forgery
XSS - Cross Site Scripting
CSRF - Cross-Site Request Forgery
File Upload

Комбинированные техники и методы взлома и атак на сайт
Обход авторизации административной панели сайта
Нестандартные техники и методы взлома и атак на сайт
Прочие ошибки выполнения скриптов
Утечка информации
Уязвимости, не способные прямо привести к взлому сайта, но позволяющие злоумышленникам использовать сайт и его ресурсы в собственных целях, таких как рассылка спама, размещение «черных» SEO элементов и т.п.

Этапы выполнения работ

На первом этапе работ выполняется поиск и устранение вредоносного кода сайте. (при необходимости)
На втором этапе работ проводится аудит безопасности сайта в «рабочем режиме».
На третьем этапе работ проводится частичное или полное исследование кода тестируемого сайта.
На четвертом этапе работ проводится аудит безопасности сторонних компонентов сайта, проверяется система управления сайтом CMS, Framework и т.п. на наличие готовых решений, эксплуатирующих те или иные уязвимости, в случае их существования.
На пятом этапе работ исследуется безопасность серверного программного обеспечения.
На шестом этапе работ составляется отчет по результату аудита информационной безопасности сайта, осуществляет согласование предложений по устранению уязвимостей. В случае необходимости, согласовываются планы мероприятий последующих этапов сотрудничества.
На седьмом этапе работ устраняются все обнаруженные уязвимости, устанавливается защита на сайт.

Итоговый отчет по результатам аудита безопасности сайта

По итогам аудита безопасности сайта, предоставляется отчет, в котором дается точная оценка безопасности тестируемого сайта, соответствующая уровню угроз найденных уязвимостей. Отчет содержит максимально полную информацию о всех найденных уязвимостях сайта, программного обеспечения сервера, обнаруженных сбоях работы скриптов, общих ошибках сайта и т.п., с конкретными рекомендациями по их устранению.

Устранение уязвимостей

Уязвимости устраняются специалистами компании Протектор.
Заказчик самостоятельно устраняет уязвимости, руководствуясь итоговым отчетом.

Гарантии

Компания Протектор гарантирует защиту сайта от взлома в течении 6и месяцев, при условии целостности кода сайта после устранения уязвимостей.
Компания Протектор гарантирует 100% работоспособности всех найденных уязвимостей, методик взлом и атак на тестируемых ресурсах.
Компания Протектор гарантирует сохранение конфиденциальности информации, предоставленной заказчиком аудита безопасности сайта.
Компания Протектор гарантирует нераспространение любой конфиденциальной информации, полученной в процессе оказания услуг.

Условия предоставления услуги

Заказчик услуги, предоставляет гарантии, что является владельцем ресурса, либо уполномоченным лицом собственника сайта.
Заказчик услуги предоставляет все учетные данные доступа (FTP или SSH,доступы к административной панели и БД сайта и т.д.).

Стоимость услуги

Стоимость услуги "Комплексный аудит безопасности сайта" рассчитывается индивидульно, исходя из:

Набора услуг, включенных в комлексный аудит безопасности сайта
Платформы (CMS), на которой работает сайт. (Bitrix, WordPress, NetCat, Joomla!, различные Framework, самописные сайты и т.п.)
Объема исследуемого сайта, и как следствие кличества работ и времени, затраченного на выполнение услуги
Программного обеспечения сервера, на котором базируется сайт
Прочих условий и требований к аудиту безопасности сайта, которые могут повлиять на конечную стоимость услуги

Вы можете заказать оценку стоимости комплексного аудита безопасности Вашего сайта:

Специалисты нашей компании проведут оценку Вашего сайта и предоставят адресное коммерческое предложение, с указанием включенных работ, срока выполнения и конечной стоимости услуги комплексного аудита безопасности сайта.