Важным условием для качественной работы сайта являются регулярные диагностические и восстановительные процедуры разного характера и уровня в составе комплексного аудита безопасности сайта, который направлен на повышение безопасности и надежности интернет-ресурса. Часть таких работ посвящена поиску уязвимостей в структуре самого сайта, его кода и серверного ПО.

Аудит безопасности - цель

  • Повысить информационную безопасность веб-ресурса, правильно выстроить надежную защиту от актуальных и потенциальных угроз.

Аудит безопасности - задача

  • Заранее обнаружить все слабые места веб-ресурса, чтобы предупредить и предотвратить взлом или атаку хакеров.

Список работ для комплексной проверки

Изучается функциональность и защищенность сайта во время работы в глобальной сети. Процесс включает моделирование всевозможных вариантов взлома и атак с применением классических и малоизвестных хакерских методик.

Важно: все процедуры хоть и достоверно имитируют реальные действия злоумышленников, однако не несут угрозы для веб-ресурса.

Аудит безопасности сайта включает изучение кода на предмет уязвимости отдельных скриптов, модулей, разделов и других компонентов, которые могут оказаться под угрозой из-за недоработок или внедрения вредоносных кодов.

Многие веб-ресурсы снабжаются функционалом от сторонних разработчиков. Такое оснащение не всегда соответствует ИТ-стандартам безопасности. Изучение сторонних компонентов является одним из приоритетных этапов обследования.

Готовые решения, платформы и т.д. нередко содержат уязвимости, которые можно выявить только в процессе тщательной проверки админсистемы интернет-ресурса.

При публикации веб-ресурса нередко в открытом доступе оказываются файлы бэкапа, системные, тестовые и другие документы. Диагностика публикации — важная процедура для предотвращения утечки конфиденциальной информации.

Серверное ПО также может быть весьма уязвимо для взломщиков. Только профессиональная диагностика настроек, ПО, портов, прочего серверного функционала поможет заранее излечить все уязвимые места.

Какие виды вредоносного кода мы устраняем

  • вирусы;
  • "трояны";
  • shell'ы;
  • web-shell'ы;
  • backdoor'ы;
  • обфусцированный код без санкции на внедрение;
  • хакерские врезки для внедрения малваре на сервер;
  • другие виды вредоносных и несанционированных кодов.

С какими угрозами и инъекциями мы справляемся

  • RemoteCodeExecution;
  • инъекции SQL/PHP/CRLF/LDAP;
  • DirectoryTraversalAttack;
  • RemoteFileInclude;
  • LocalFileInclude;
  • ServerSideRequestForgery;
  • CrossSiteScripting;
  • CrossSiteRequestForgery;
  • FileUpload;
  • комбинации техник и методик обхода защиты;
  • попытки обойти авторизацию с помощью админпанели;
  • нетривиальные факторы нарушения защиты;
  • ошибки исполнения скриптов;
  • утечка данных;
  • недоработки и ошибки, которые могут использоваться для несанкционированного доступа к веб-ресурсам без взломов.

Как мы это делаем - поэтапно

  1. Ищем и устраняем вредоносный код.
  2. Проводим аудит безопасности сайта в режиме активной деятельности.
  3. Изучаем код сайта на наличие уязвимостей.
  4. Обследуем сторонние компоненты сайта и системы администрирования, выявляем решения, которые используют уязвимый функционал или компоненты.
  5. Осуществляем тестирование серверного ПО и определяем степень безопасности.
  6. Составляем отчет о результатах аудита, согласовываем предложения по решению проблем, разрабатываем план дальнейшего обслуживания.
  7. Уязвимости устраняются, сайт получает новую защиту.

Резюмирующий отчет по аудиту безопасности сайта

Отчет необходим для структурированного, последовательного и аргументированного изложения информации о выявленных проблемах, угрозах, ошибках и последствиях атак на сайт. В отчете дается объективная оценка безопасности сайта и обоснование принятых решений по ее оптимизации. Его пример Вы можете найти здесь.

Как "лечатся" уязвимости

Есть два возможных подхода:

  • Эффективное - исправление уязвимых мест проводится квалифицированными сотрудниками компании ITFB
  • Бюджетное - уязвимые места исправляются силами заказчика, в соответствии с резюмирующим отчетом.

Предоставляем гарантии

  • защиты от хакеров на протяжении 6 мес., при соблюдении целостности скриптов после исправления уязвимых мест;
  • 100% работоспособности исправленных после диагностики компонентов;
  • защиты данных заказчика от посягательств злоумышленников;
  • конфиденциальность информации, к которой исполнители имели доступ в процессе аудита безопасности сайта.

Нормы сотрудничества

Клиент обязуется предоставить исполнителю свидетельства, что сайт принадлежит ему, либо гарантии, что он уполномочен владельцем веб-сайта.

Клиент обеспечивает исполнителя всеми учетными данными для доступа к интернет-ресурсу.

Сколько стоит заказать аудит безопасности сайта

Предоставляем возможность заказать комплексную услугу, либо сформировать индивидуальный пакетный запрос на аудит отдельных компонентов и функций веб-ресурса. Во 2-м случае стоимость будет зависеть от:

  • состава индивидуального пакета услуг;
  • трудозатрат и времени работы специалистов;
  • платформы веб-ресурса;
  • объема интернет-ресурса;
  • серверного ПО;
  • других условий и особых требований, которые влияют на ценоформирование.

Чтобы точно спланировать затраты на аудит и максимально эффективно использовать ваши средства, вы можете заказать предварительную оценку стоимости аудита безопасности сайта.

Наши сотрудники оценят объем работ, после чего составят коммерческое предложение, в котором указаны названия работ, сроки выполнения и стоимость.

Остались вопросы? Обращайтесь к нашим специалистам.