БАГ ХАНТЕР

ПРОВЕРКА БЕЗОПАСНОСТИ САЙТА

тестирование на проникновение | аудит исходного кода | анализ следов взлома | защита и мониторинг | нагрузочное тестирование

ИНФО

Веб-приложение - одна из наиболее предпочтительных целей для кибер атак. Его компрометация может повлечь за собой финансовые и репутационные потери, а также создать точки входа в инфраструктуру компании.

Аудит безопасности веб-приложений позволяет выявить и устранить проблемы до того, как ими воспользуется нарушители.

Наш подход основывается не только на признанных практиках в области, таких как OWASP, но главным образом на понимании исследуемого приложения и природы уязвимостей.

Наши сотрудники отмечены в «залах славы» компаний Yandex, VK, Google, Apache, Telegraph (Telegram), Apple; являются контрибьюторами и членами международного консорциума OWASP (Open Web Application Security Project).

  • Выявление уязвимостей крупнейших Российских и зарубежных ресурсов.
  • Опыт нахождения т.н. уязвимостей "нулевого дня" (подтверждённые CVE).
  • Исследования, публикации и выступления по вопросам безопасности веб-приложений.

Как стать нашим клиентом и проверить безопасность сайта?

 

  • 01 Подписание договора

    По согласию сторон подписываем договор о неразглашении (NDA), договор. Рекомендуется использование ЭДО: Контур.Диадок, Калуга Астрал, Такском или СБИС.

  • Для подтверждения легитимности работ (аудит, нагрузочное тестирование) необходимо на фирменном бланке предоставить письмо о согласовании работ.

  • Для проведения работ необходимо будет предоставить контакт ответственного лица/технического специалиста, согласовать время проведения.

 

Процесс

Подписываем NDA (при необходимости), выбираете тарифный план, мы проверяем соблюдение всех условий и приступаем к аудиту безопасности сайта. Работы проводятся дистанционно. После закрытия уязвимости проверяем корректность ее устранения. После этого выставляем вам счет согласно тарифу.

Определяем тип работ

Определяем тариф, время и объекты аудита

Подписываем договор

Согласовываем тип работ и проверяем владение ресурсом

Проводим работы

Выявляем уязвимости и недостатки архитектуры

Отправляем отчет

Направляем выявленные уязвимости и рекомендации по устранению

Цены

Наш проектный опыт позволяет нам в краткие сроки провести анализ веб-приложения и выявить его слабые стороны, уязвимости и недостатки архитектуры.

Динамический анализ

80.0005 дней

  • Автоматизированное сканирование
  • Валидация уязвимостей
  • Отчет
  • Рекомендации

Ручное тестирование

300.00020 дней

  • Ручное выявление уязвимостей
  • Логические уязвимости
  • Фаззинг параметров
  • Анализ веб-окружения
  • Анализ защитных средств
  • Оценка по OWASP TOP 10
  • Отчет
  • Рекомендации

Статический анализ

150.0007 дней

  • Автоматический анализ кода
  • Проверка конфигураций веб-окружения
  • Выявление формальных признаков уязвимостей
  • Отчет
  • Рекомендации

Анализ следов взлома

60.0005 дней

  • Анализ журналов веб-сервера
  • Выявление вредоносного кода
  • Нейтрализация угроз
  • Отчет

Защита сайта

15.000сайт/месяц

  • Web Application Firewall
  • Сигнатурный анализ
  • Защита от рисков OWASP Top 10
  • Защита данных
  • Противодействие ботам/скрепингу
  • Защита от bruteforce
  • IP-reputation
  • Ежемесячный отчет

Нагрузочное тестирование

120.0003 дня

  • Нагрузочное тестирование L3/L4
  • Нагрузочное тестирование L7
  • Гео-распределенная сеть
  • Отчет
  • Рекомендации

Эффективность методов тестирования безопасности веб-приложения

Максимально обезопасить веб-приложение поможет статический, динамический и ручной анализ; применение рекомендаций и внедрение средств защиты.

ДИНАМИЧЕСКИЙ АНАЛИЗ + СТАТИЧЕСКИЙ АНАЛИЗ + РУЧНОЕ ТЕСТИРОВАНИЕ100%
ДИНАМИЧЕСКИЙ АНАЛИЗ + СТАТИЧЕСКИЙ АНАЛИЗ90%
СТАТИЧЕСКИЙ АНАЛИЗ 80%
ДИНАМИЧЕСКИЙ АНАЛИЗ 65%

Выявили уязвимости, что делать дальше?

 

- Устранить уязвимости.

- Применить рекомендации из отчета.

- Внедрить защитные средcтва.

Web Application Firewall

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

Предоставим существенную скидку (до 100%) некоммерческим социально-значимым проектам.

  • Под объектом аудита мы подразумеваем 1 домен/сабдомен (без wildcard) и до 50.000 строк кода.

  • После устранения уязвимости мы проводим проверку корректности, но ограничиваемся только выявленными уязвимостями.

  • Бывает и такое. Но расслабляться не стоит, аудит безопасности не дает 100% выявления уязвимостей. Для усиления безопасности веб-приложений рекомендуем использовать WAF.

КОНТАКТЫ

 

Telegram:

@bug_hunter_ru

Телефон:

+7 995 682 4884