Как стать нашим клиентом и проверить безопасность сайта?
ИНФО
Веб-приложение - одна из наиболее предпочтительных целей для кибер атак. Его компрометация может повлечь за собой финансовые и репутационные потери, а также создать точки входа в инфраструктуру компании.
Аудит безопасности сайта — это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению.
Наш подход основывается не только на признанных практиках в области, таких как OWASP, но главным образом на понимании исследуемого приложения и природы уязвимостей.
Аудит безопасности веб-приложений позволяет выявить и устранить проблемы до того, как ими воспользуется нарушители.
Наши сотрудники отмечены в «залах славы» компаний Yandex, VK, Google, Apache, Telegraph (Telegram), Apple; являются региональными лидерами и контрибьюторами международного консорциума OWASP (Open Web Application Security Project); входят в топ рейтинга исследователей БДУ ФСТЭК.
- Выявление уязвимостей крупнейших Российских и зарубежных ресурсов.
- Опыт нахождения т.н. уязвимостей "нулевого дня" (подтверждённые CVE).
- Исследования, публикации и выступления по вопросам безопасности веб-приложений.
- Собственная площадка Bug Bounty Ru.
-
01 Подписание договора
По согласию сторон подписываем договор о неразглашении (NDA), договор. Рекомендуется использование ЭДО: Контур.Диадок, Калуга Астрал, Такском или СБИС.
-
02 Проверка легитимности
Для подтверждения легитимности работ (аудит, нагрузочное тестирование) необходимо на фирменном бланке предоставить письмо о согласовании работ.
-
03 Проведение работ
Для проведения работ необходимо будет предоставить контакт ответственного лица/технического специалиста, согласовать время проведения.
Процесс
Подписываем NDA (при необходимости), выбираете тарифный план, мы проверяем соблюдение всех условий и приступаем к аудиту безопасности сайта. Работы проводятся дистанционно. После закрытия уязвимости проверяем корректность ее устранения. После этого выставляем вам счет согласно тарифу.
Услуги
Наш проектный опыт позволяет нам в краткие сроки (5-20 дней) провести анализ веб-приложения и выявить его слабые стороны, уязвимости и недостатки архитектуры.
Экспресс аудит
Рекомендуется для проектов со статическим контентом.
- Автоматизированное сканирование
- Валидация уязвимостей
- Оценка по OWASP TOP 10
- Отчет
- Рекомендации
Комплексный аудит
Рекомендуется для проектов с динамическим контентом, содержащих пользовательские данные.
- Автоматизированное сканирование
- Ручное выявление уязвимостей
- Фаззинг
- Анализ веб-окружения
- Оценка по OWASP TOP 10
- Отчет
- Рекомендации
Экспертный аудит
Рекомендуется для проектов, содержащих платежные модули, интеграцию со сторонними сервисами и мобильные приложения.
- Ручное выявление уязвимостей
- Фаззинг
- Логические уязвимости
- Анализ веб-окружения
- Анализ защитных средств
- Оценка по OWASP TOP 10
- Отчет
- Рекомендации
Анализ следов взлома
Рекомендуется в случаях, когда сайт под атакой ботов, заражен вирусами или содержит следы взлома.
- Анализ журналов веб-сервера
- Выявление вредоносного кода
- Нейтрализация угроз
- Отчет
Анализ исходного кода
Рекомендуется на этапе разработки новых проектов или их модулей.
- Автоматический анализ кода
- Фаззинг
- Выявление формальных признаков уязвимостей
- Отчет
- Рекомендации
Нагрузочное тестирование
Рекомендуется для выявления "узких мест" архитектуры проекта, проверки надежности ресурсов, защиты от DoS атак.
- Нагрузочное тестирование L3/L4
- Нагрузочное тестирование L7
- Гео-распределенная сеть
- Отчет
- Рекомендации
Наиболее распространенные уязвимости веб-приложений
Оценка рисков безопасности сайта проводится по рейтингу OWASP Top 10 – это регулярно обновляемый список основных угроз безопасности веб-приложений.
A01 — Недостатки контроля доступа100%
A05 — Некорректная настройка параметров безопасности83%
A07 — Недостатки идентификации и аутентификации79%
A04 — Небезопасное проектирование65%
A03 — Инъекции48%
Выявили уязвимости, что делать дальше?
- Устранить уязвимости.
- Применить рекомендации из отчета.
- Внедрить защитные средcтва.
- Разместить сервис на программе Bug Bounty.
Наши клиенты
ООО «БИТРИКС»
Благодарим компанию ООО "Киберполигон" за плодотворное сотрудничество в области информационной безопасности. С вашей помощью наши продукты остаются надежными и защищенными для наших клиентов.
«Бессмертный полк»
Благодарим компанию ООО Киберполигон за помощь в укреплении информационной безопасности ресурса moypolk.ru. С вашей помощью семейные истории сотен тысяч людей в России и за рубежом остаются под надежной защитой.
АО «Лакса Трейдинг»
Выражаем благодарность компании ООО "Киберполигон" за плодотворное сотрудничество в области информационной безопасности. Совместные работы по анализу зашишенности внутренней корпоративной сети и сайта sokolov.ru позволили повысить уровень зашишенности информационных систем и ресурсов компании.
ДИТ Москва
Результаты данной работы получили высокую оценку со стороны руководства города. Благодаря тесной и слаженной работе удалось не допустить технических сбоев в задействованных информационных системах, системах связи и аппаратном обеспечении.
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
-
Объекты тестирования
Под объектом аудита мы подразумеваем 1 домен/сабдомен (без wildcard) и до 50.000 строк кода.
-
Повторные проверки
После устранения уязвимости мы проводим проверку корректности, но ограничиваемся только выявленными уязвимостями.
-
Не могу выбрать тариф/Нужно что-то другое
Мы проконсультируем и поможем определиться с объектами аудита и типами работ, как исходя из модели угроз и рисков, так и требований регуляторов.
КОНТАКТЫ
Аудит безопасности веб-приложений
тестирование на проникновение | аудит исходного кода | анализ следов взлома | защита и мониторинг | нагрузочное тестирование
Email:
info@bug-hunter.ru
Телефон:
+7 499 113 13 37