Важною умовою для якісної роботи сайту є регулярні діагностичні та відновлювальні процедури різного характеру і рівня у складі комплексного аудиту безпеки сайту, який спрямований на підвищення безпеки та надійності інтернет-ресурсу. Частина таких робіт присвячена пошуку вразливостей у структурі самого сайту, його коду та серверного ПЗ.
Аудит безпеки - мета
- Підвищити інформаційну безпеку веб-ресурсу, правильно вибудувати надійний захист від актуальних і потенційних загроз.
Аудит безпеки - завдання
- Заздалегідь виявити всі слабкі місця веб-ресурсу, щоб попередити і запобігти зламу чи атаці хакерів.
Список робіт для комплексної перевірки
Вивчається функціональність і захищеність сайту під час роботи в глобальній мережі. Процес включає моделювання всіляких варіантів зламу та атак із застосуванням класичних і маловідомих хакерських методик.
Важливо: усі процедури хоч і достовірно імітують реальні дії зловмисників, проте не несуть загрози для веб-ресурсу.
Аудит безпеки сайту включає вивчення коду на предмет вразливості окремих скриптів, модулів, розділів та інших компонентів, які можуть опинитися під загрозою через недоопрацювання або впровадження шкідливих кодів.
Багато веб-ресурсів забезпечуються функціоналом від сторонніх розробників. Таке оснащення не завжди відповідає ІТ-стандартам безпеки. Вивчення сторонніх компонентів є одним із пріоритетних етапів обстеження.
Готові рішення, платформи тощо нерідко містять вразливості, які можна виявити лише в процесі ретельної перевірки адмінсистеми інтернет-ресурсу.
Під час публікації веб-ресурсу нерідко у відкритому доступі опиняються файли бекапу, системні, тестові та інші документи. Діагностика публікації – важлива процедура для запобігання витоку конфіденційної інформації.
Серверне ПЗ також може бути вкрай вразливим для зловмисників. Лише професійна діагностика налаштувань, ПЗ, портів, іншого серверного функціонала допоможе заздалегідь усунути всі слабкі місця.
Які види шкідливого коду ми усуваємо
- віруси;
- "трояни";
- shell'и;
- web-shell'и;
- backdoor'и;
- обфусцований код без санкції на впровадження;
- хакерські вставки для впровадження malware на сервер;
- інші види шкідливих і несанкціонованих кодів.
З якими загрозами та ін'єкціями ми справляємося
- RemoteCodeExecution;
- ін'єкції SQL/PHP/CRLF/LDAP;
- DirectoryTraversalAttack;
- RemoteFileInclude;
- LocalFileInclude;
- ServerSideRequestForgery;
- CrossSiteScripting;
- CrossSiteRequestForgery;
- FileUpload;
- комбінації технік і методик обходу захисту;
- спроби обійти авторизацію за допомогою адмінпанелі;
- нетривіальні фактори порушення захисту;
- помилки виконання скриптів;
- витік даних;
- недоопрацювання й помилки, які можуть використовуватися для несанкціонованого доступу до веб-ресурсів без зламів.
Як ми це робимо - поетапно
- Шукаємо і усуваємо шкідливий код.
- Проводимо аудит безпеки сайту в режимі активної діяльності.
- Вивчаємо код сайту на наявність вразливостей.
- Обстежуємо сторонні компоненти сайту та системи адміністрування, виявляємо рішення, які використовують вразливий функціонал чи компоненти.
- Здійснюємо тестування серверного ПЗ та визначаємо ступінь безпеки.
- Складаємо звіт про результати аудиту, погоджуємо пропозиції щодо вирішення проблем, розробляємо план подальшого обслуговування.
- Вразливості усуваються, сайт отримує новий захист.
Резюмуючий звіт з аудиту безпеки сайту
Звіт необхідний для структурованого, послідовного та аргументованого викладення інформації про виявлені проблеми, загрози, помилки та наслідки атак на сайт. У звіті дається об’єктивна оцінка безпеки сайту й обґрунтування прийнятих рішень щодо її оптимізації. Його приклад ви можете знайти тут.
Як "лікуються" вразливості
Є два можливих підходи:
- Ефективний – виправлення вразливих місць проводиться кваліфікованими співробітниками компанії ITFB
- Бюджетний – вразливі місця виправляються силами замовника, відповідно до резюмуючого звіту.
Надаємо гарантії
- захисту від хакерів протягом 6 міс., за умови збереження цілісності скриптів після виправлення вразливих місць;
- 100% працездатності виправлених після діагностики компонентів;
- захисту даних замовника від посягань зловмисників;
- конфіденційність інформації, до якої виконавці мали доступ у процесі аудиту безпеки сайту.
Норми співпраці
Клієнт зобов’язується надати виконавцю свідоцтва, що сайт належить йому, або гарантії, що він уповноважений власником веб-сайту.
Клієнт забезпечує виконавця всіма обліковими даними для доступу до інтернет-ресурсу.
Скільки коштує замовити аудит безпеки сайту
Надаємо можливість замовити комплексну послугу, або сформувати індивідуальний пакетний запит на аудит окремих компонентів і функцій веб-ресурсу. У 2-му випадку вартість залежатиме від:
- складу індивідуального пакета послуг;
- трудовитрат і часу роботи спеціалістів;
- платформи веб-ресурсу;
- обсягу інтернет-ресурсу;
- серверного ПЗ;
- інших умов та особливих вимог, що впливають на ціноутворення.
Щоб точно спланувати витрати на аудит і максимально ефективно використати ваші кошти, ви можете замовити попередню оцінку вартості аудиту безпеки сайту.
Наші співробітники оцінять обсяг робіт, після чого складуть комерційну пропозицію, в якій зазначені назви робіт, строки виконання та вартість.
Залишилися питання? Звертайтеся до наших спеціалістів.