Проверка безопасности сайта
ИНФО
Веб-приложение - одна из наиболее предпочтительных целей для кибер атак. Его компрометация может повлечь за собой финансовые и репутационные потери, а также создать точки входа в инфраструктуру компании.
Аудит безопасности сайта — это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению.
Наш подход основывается не только на признанных практиках в области, таких как OWASP, но главным образом на понимании исследуемого приложения и природы уязвимостей.
Аудит безопасности веб-приложений позволяет выявить и устранить проблемы до того, как ими воспользуется нарушители.
Наши сотрудники отмечены в «залах славы» компаний Yandex, VK, Google, Apache, Telegraph (Telegram), Apple; являются региональными лидерами и контрибьюторами международного консорциума OWASP (Open Web Application Security Project); входят в топ рейтинга исследователей БДУ ФСТЭК.
- Security-чемпионы: выявление уязвимостей крупнейших Российских и зарубежных ресурсов.
- Опыт нахождения т.н. уязвимостей "нулевого дня" (подтверждённые CVE).
- Исследования, публикации и выступления по вопросам безопасности веб-приложений.
- Основатели первой в РФ платформы выплаты вознаграждений за найденные уязвимости Bug Bounty Ru.
- Организаторы и амбасcадоры киберучений и концепции киберполигонов.
-
01 Подписание договора
По согласию сторон подписываем договор о неразглашении (NDA), договор. Рекомендуется использование ЭДО: Контур.Диадок, Калуга Астрал, Такском или СБИС.
-
02 Проверка легитимности
Для подтверждения легитимности работ (аудит, нагрузочное тестирование) необходимо на фирменном бланке предоставить письмо о согласовании работ.
-
03 Проведение работ
Для проведения работ необходимо будет предоставить контакт ответственного лица/технического специалиста, согласовать время проведения.
Процесс
Подписываем NDA (при необходимости), выбираете тарифный план, мы проверяем соблюдение всех условий и приступаем к проверке на уязвимости/нагрузочному тестированию. Работы проводятся дистанционно. После закрытия уязвимости проверяем корректность ее устранения. После этого выставляем вам счет согласно тарифу.
Услуги
Наш проектный опыт позволяет нам в краткие сроки (5-20 дней) провести анализ веб-приложения и выявить его слабые стороны, уязвимости и недостатки архитектуры. После устранения уязвимости мы проводим проверку корректности, но ограничиваемся только выявленными уязвимостями.
Экспресс аудит
Рекомендуется для проектов со статическим контентом.
- Автоматизированное сканирование
- Валидация уязвимостей
- Оценка по OWASP Top 10
- Отчет
- Рекомендации
Комплексный аудит
Рекомендуется для проектов с динамическим контентом, содержащих пользовательские данные.
- Автоматизированное сканирование
- Ручное выявление уязвимостей
- Фаззинг
- Анализ веб-окружения
- Оценка по OWASP Top 10
- Оценка по OWASP API Security Top 10
- Отчет
- Рекомендации
Экспертный аудит
Рекомендуется для проектов, содержащих платежные модули, интеграцию со сторонними сервисами и мобильные приложения.
- Ручное выявление уязвимостей
- Фаззинг
- Логические уязвимости
- Анализ веб-окружения
- Анализ защитных средств
- Оценка по OWASP TOP 10
- Оценка по OWASP API Security Top 10
- Оценка по OWASP Mobile Top 10
- Отчет
- Рекомендации
Анализ следов взлома
Рекомендуется в случаях, когда сайт под атакой ботов, заражен вирусами или содержит следы взлома.
- Анализ журналов веб-сервера
- Выявление вредоносного кода
- Нейтрализация угроз
- Отчет
Анализ исходного кода
Рекомендуется на этапе разработки новых проектов или их модулей.
- Автоматический анализ кода
- Фаззинг
- Выявление формальных признаков уязвимостей
- Отчет
- Рекомендации
Нагрузочное тестирование
Рекомендуется для выявления "узких мест" архитектуры проекта, проверки надежности ресурсов, защиты от DoS атак.
- Нагрузочное тестирование L3/L4
- Нагрузочное тестирование L7
- Гео-распределенная сеть
- Отчет
- Рекомендации
Наиболее распространенные уязвимости веб-приложений
Оценка рисков безопасности сайта проводится по рейтингу OWASP Top 10 – это регулярно обновляемый список основных угроз безопасности веб-приложений.
A01 — Недостатки контроля доступа100%
A05 — Некорректная настройка параметров безопасности83%
A07 — Недостатки идентификации и аутентификации79%
A04 — Небезопасное проектирование65%
A03 — Инъекции48%
Выявили уязвимости, что делать дальше?
- Устранить уязвимости.
- Применить рекомендации из отчета.
- Внедрить защитные средcтва.
- Разместить сервис на программе Bug Bounty.
Наши клиенты
ООО «БИТРИКС»
Благодарим компанию ООО «Киберполигон» за плодотворное сотрудничество в области информационной безопасности. С вашей помощью наши продукты остаются надежными и защищенными для наших клиентов.
«Бессмертный полк»
Благодарим компанию ООО «Киберполигон» за помощь в укреплении информационной безопасности ресурса moypolk.ru. С вашей помощью семейные истории сотен тысяч людей в России и за рубежом остаются под надежной защитой.
АО «Лакса Трейдинг»
Выражаем благодарность компании ООО «Киберполигон» за плодотворное сотрудничество в области информационной безопасности. Совместные работы по анализу зашишенности внутренней корпоративной сети и сайта sokolov.ru позволили повысить уровень зашишенности информационных систем и ресурсов компании.
ДИТ Москва
Результаты данной работы получили высокую оценку со стороны руководства города. Благодаря тесной и слаженной работе удалось не допустить технических сбоев в задействованных информационных системах, системах связи и аппаратном обеспечении.
КОНТАКТЫ
Безопасность сайта
ООО "Киберполигон"
Лицензия ФСТЭК ТЗКИ 3886