тестування на проникненняТестування на проникнення — дії, спрямовані на спробу зламу ресурсу з метою виявлення шляхів і способів проникнення, для подальшого підвищення безпеки та захисту сайту.

Конкуренція у сучасному світі вийшла на новий рівень. Якщо раніше кібершпигунство було доступне лише великим компаніям, то з розвитком технологій воно стало доступним малому та середньому бізнесу.

У цьому випадку мова йде про комерційні сайти компаній, інтернет-магазини, веб-ресурси, що приносять дохід.

Тестування на проникнення сайту — комплексний підхід до пошуку неякісного коду ресурсу, виявлення вразливостей ПЗ сервера, завдяки яким можна атакувати та зламати веб-ресурс.

Мотивів зламу може бути декілька: власна вигода, знищення конкурента, робота на замовника.

Ви не раз чули новини про те, що сайт було зламано і в мережу викладені облікові дані сотень тисяч користувачів. Що це означає для сайту? Веб-ресурс зазнав репутаційної шкоди, компанія втратила довіру клієнтів. А цього могло і не статися, якби вчасно було проведено тест на проникнення, виявлено можливість зламу та проведені заходи з виправлення вразливості. Приклад: Penetration Testing Report

Зловмисники поділяються на два типи:

Масова атака

Спроба отримати доступ до максимальної кількості сайтів. Використовуються прості техніки сканування та пошуку вразливостей популярних CMS під певний експлойт. У ході тестування будуть виявлені частини вразливого коду, рекомендації забезпечать готовність до боротьби з атакою.

Цілеспрямована атака

Атакувальники націлені на отримання конкретних даних або, навпаки, їх знищення. У такому випадку хакер має безліч способів досягти результату й буде застосовувати всі доступні методи атаки.

Потрібна перевірка на вразливість? Звертайся

Помилка: Contact form не знайдена.

Що включає в себе тестування на проникнення

  • Виявлення вразливостей серверних компонентів;
    Сканування серверного обладнання на предмет програмних вразливостей.
  • Виявлення вразливостей у веб-оточенні сервера;
  • Перевірка рівня захисту веб-ресурсу (міжмережевий екран, екран рівня застосунків), спроби експлуатації знайдених вразливостей, визначення слабких місць;
  • Спроба можливості віддалено виконати довільний код;
    Пошук недопрацювань у програмному коді, перевірка можливості виконання довільного коду.
  • Пошук наявності ін’єкцій (впровадження коду);
    Спроби впровадження атакувального коду з метою виконання довільного, потенційно небезпечного коду.
  • Спроби обходу системи автентифікації веб-ресурсу;
    Аналіз існуючої системи авторизації та пошук способів її обходу.
  • Перевірка сайту на «XSS» / «CSRF» вразливості;
    Пошук недопрацювань у програмному коді, спроба вбудовування коду та його виконання.
    Залежно від виявлених вразливостей можуть переслідуватися різні цілі (крадіжка даних, дискредитація ресурсу тощо).
  • Спроби перехопити дані сесій привілейованого акаунта;
    Оцінка можливості отримання адміністративного доступу до аналізованого ресурсу.
  • Виконання Remote File Inclusion / Local File Inclusion;
    Пошук вразливостей відкриття файлів на стороні сервера, що містять конфіденційну інформацію.
    У разі знаходження подібних вразливостей — перевірка виконання віддаленого файла на сервері.
  • Пошук компонентів із відомими вразливостями;
    Аналіз архітектури ресурсу та пошук загальновідомих вразливостей.
  • Виявлення перенаправлень на інші сайти;
    Пошук відкритих редиректів (залишених відкритими для розробників).
  • Пошук можливостей отримання конфіденційної та секретної інформації;

Text on the button