Аудит безпеки сайту

Комплексний аудит сайту на наявність вразливостей

Комплекс робіт із забезпечення максимальної безпеки Вашого сайту

Аудит безпеки сайту - є найпотужнішим інструментом для забезпечення інформаційної безпеки ресурсу.

Аудит сайту на наявність вразливостей - це комплекс робіт з виявлення помилок в коді сайту і програмному забезпеченні сервера, які скористалися якими зловмисники можуть атакувати і зламати сайт.

Головна мета аудиту безпеки сайта

  • Забезпечення інформаційної безпеки досліджуваного сайту

Основне завдання аудиту безпеки сайта

  • завчасне виявлення всіх вразливостей сайту, для попередження і запобігання злому і хакерських атак.

Основні роботи, включені в комплексний аудит безпеки сайту

Дослідження безпеки сайта в робочому режимі

Часткове дослідження коду тестованого сайту

Дослідження частин коду сайту є необхідною умовою для проведення комплексного аудиту безпеки, в тих випадках, коли тестування в «робочому режимі» не може дати однозначної відповіді на наявність уразливості в певному скрипті / модулі / розділі і т.п. сайту.
Як приклад можна привести ознаки наявності уразливості, в певному скрипті сайту, можливість експлуатації якої ставиться під сумнів. В такому випадку досліджується «проблемна» частина коду скрипта для точного визначення наявності або відсутності загрози.

Дослідження безпеки сторонніх компонентів сайту

Дослідження безпеки системи управління сайтом

Перевірка системи управління сайтом CMS, Framework і т.п. на наявність готових рішень, які експлуатують ті чи інші уразливості, в разі їх існування.

Дослідження безпеки програмного забезпечення і налаштувань сервера

Перевірка коректної настройки серверного програмного забезпечення. Дослідження доступності серверного програмного забезпечення до публічних методам і способам злому і атак. Дослідження безпеки портів сервера. Інші дослідження безпеки сервера.

Пошук і усунення шкідливого коду на сайті

  • вірусів
  • троянських програм
  • Шелл, веб-Шелл, бекдор і т.п.
  • несанкціонованого обфусцірованного коду
  • хакерських «врізок» в код сайту, що забезпечують завантаження небажаного ПЗ на сервер
  • іншого шкідливого коду на сайті

Основні загрози безпеки

  • RCE - Remote code execution
  • SQL ін'єкції
  • PHP ін'єкції
  • CRLF ін'єкції
  • Ін'єкції в LDAP
  • Directory Traversal Attack
  • Remote File Include (RFI)
  • Local File Include (LFI)
  • SSRF - Server Side Request Forgery
  • XSS - Cross Site Scripting
  • CSRF - Cross-Site Request Forgery
  • File Upload

Етапи виконання робіт

  • На першому етапі робіт виконується пошук і усунення шкідливого коду сайті. (за потреби)
  • На другому етапі робіт проводиться аудит безпеки сайту в «робочому режимі».
  • На третьому етапі робіт проводиться часткове або повне дослідження коду тестованого сайту.
  • На четвертому етапі робіт проводиться аудит безпеки сторонніх компонентів сайту, перевіряється система управління сайтом CMS, Framework і т.п. на наявність готових рішень, які експлуатують ті чи інші уразливості, в разі їх існування.
  • На п'ятому етапі робіт досліджується безпеку серверного програмного забезпечення.
  • На шостому етапі робіт складається звіт за результатом аудиту інформаційної безпеки сайту, здійснює узгодження пропозицій щодо усунення вразливостей. У разі необхідності, узгоджуються плани заходів наступних етапів співпраці.
  • На сьомому етапі робіт усуваються всі виявлені вразливості, встановлюється захист на сайт.

Підсумковий звіт за результатами аудиту безпеки сайта

За підсумками аудиту безпеки сайта, надається звіт, в якому дається точна оцінка безпеки тестованого сайту, що відповідає рівню загроз знайдених вразливостей. Звіт містить максимально повну інформацію про всіх знайдені вразливості сайту, програмного забезпечення сервера, виявлених збої роботи скриптів, загальних помилки сайту і т.п. з конкретними рекомендаціями щодо їх усунення.

усунення вразливостей

  • Уразливості усуваються фахівцями компанії inSafety.
  • Замовник самостійно усуває уразливості, керуючись підсумковим звітом.
  • Компанія inSafety гарантує захист сайту від злому протягом 6і місяців, за умови цілісності коду сайту після усунення вразливостей.
  • Компанія inSafety гарантує 100% працездатності всіх знайдених вразливостей, методик злом і атак на тестованих ресурсах.
  • Компанія inSafety гарантує збереження конфіденційності інформації, наданої замовником аудиту безпеки сайта.
  • Компанія inSafety гарантує нерозповсюдження будь-якої конфіденційної інформації, отриманої в процесі надання послуг.

Умови надання послуги

  • Замовник послуги, надає гарантії, що є власником ресурсу, або уповноваженою особою власника сайту.
  • Замовник послуги надає всі облікові дані доступу (FTP або SSH, доступи до адміністративної панелі і БД сайту і т.д.).

Вартість послуги

Вартість послуги "Комплексний аудит безпеки сайту" розраховується индивидульно, виходячи з:

  • Набору послуг, включених в комлексний аудит безпеки сайту
  • Платформи (CMS), на якій працює сайт. (Bitrix, WordPress, NetCat, Joomla. Різні Framework, самописние сайти і т.п.)
  • Обсягу досліджуваного сайту, і як наслідок клічество робіт і часу, витраченого на виконання послуги
  • Програмного забезпечення сервера, на якому базується сайт
  • Інших умов і вимог до аудиту безпеки сайта, які можуть вплинути на кінцеву вартість послуги

Ви можете замовити оцінку вартості комплексного аудиту безпеки Вашого сайту:

Якщо у Вас є питання з аудиту безпеки сайта, зв'яжіться з нами!

Фахівці компанії inSafety оперативно дадуть відповідь на всі виниклі питання.

Схожі статті