ПРОВЕРКА БЕЗОПАСНОСТИ САЙТА

тестирование на проникновение | аудит исходного кода | анализ следов взлома | защита и мониторинг | нагрузочное тестирование

Тестирование на проникновение веб-приложения

ИНФО

Веб-приложение - одна из наиболее предпочтительных целей для кибер атак. Его компрометация может повлечь за собой финансовые и репутационные потери, а также создать точки входа в инфраструктуру компании.

Аудит безопасности сайта — это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению.

Аудит безопасности веб-приложений позволяет выявить и устранить проблемы до того, как ими воспользуется нарушители.

Наш подход основывается не только на признанных практиках в области, таких как OWASP, но главным образом на понимании исследуемого приложения и природы уязвимостей.

Наши сотрудники отмечены в «залах славы» компаний Yandex, VK, Google, Apache, Telegraph (Telegram), Apple; являются контрибьюторами и членами международного консорциума OWASP (Open Web Application Security Project).

  • Выявление уязвимостей крупнейших Российских и зарубежных ресурсов.
  • Опыт нахождения т.н. уязвимостей "нулевого дня" (подтверждённые CVE).
  • Исследования, публикации и выступления по вопросам безопасности веб-приложений.

Как стать нашим клиентом и проверить безопасность сайта?

 

  • 01 Подписание договора

    По согласию сторон подписываем договор о неразглашении (NDA), договор. Рекомендуется использование ЭДО: Контур.Диадок, Калуга Астрал, Такском или СБИС.

  • Для подтверждения легитимности работ (аудит, нагрузочное тестирование) необходимо на фирменном бланке предоставить письмо о согласовании работ.

  • Для проведения работ необходимо будет предоставить контакт ответственного лица/технического специалиста, согласовать время проведения.

 

Процесс

Подписываем NDA (при необходимости), выбираете тарифный план, мы проверяем соблюдение всех условий и приступаем к аудиту безопасности сайта. Работы проводятся дистанционно. После закрытия уязвимости проверяем корректность ее устранения. После этого выставляем вам счет согласно тарифу.

Определяем тип работ

Определяем тариф, время и объекты аудита

Подписываем договор

Согласовываем тип работ и проверяем владение ресурсом

Проводим работы

Выявляем уязвимости и недостатки архитектуры

Отправляем отчет

Направляем выявленные уязвимости и рекомендации по устранению

Цены

Наш проектный опыт позволяет нам в краткие сроки (5-20 дней) провести анализ веб-приложения и выявить его слабые стороны, уязвимости и недостатки архитектуры.

Экспресс аудит

80.000Рекомендуется для проектов со статическим контентом.

  • Автоматизированное сканирование
  • Валидация уязвимостей
  • Оценка по OWASP TOP 10
  • Отчет
  • Рекомендации

Анализ исходного кода

150.000Рекомендуется на этапе разработки новых проектов или их модулей.

  • Автоматический анализ кода
  • Фаззинг
  • Выявление формальных признаков уязвимостей
  • Отчет
  • Рекомендации

Анализ следов взлома

60.000Рекомендуется в случаях, когда сайт под атакой ботов, заражен вирусами или содержит следы взлома.

  • Анализ журналов веб-сервера
  • Выявление вредоносного кода
  • Нейтрализация угроз
  • Отчет

Защита сайта

15.000Применение Web Application Firewall.

  • Сигнатурный анализ
  • Защита от рисков OWASP Top 10
  • Защита данных
  • Противодействие ботам/скрепингу
  • Защита от bruteforce
  • IP-reputation
  • Ежемесячный отчет

Нагрузочное тестирование

120.000Рекомендуется для выявления "узких мест" архитектуры проекта, проверки надежности ресурсов, защиты от DoS атак.

  • Нагрузочное тестирование L3/L4
  • Нагрузочное тестирование L7
  • Гео-распределенная сеть
  • Отчет
  • Рекомендации
Аудит безопасности сайта

Наиболее распространенные уязвимости веб-приложений

Оценка рисков безопасности сайта проводится по рейтингу OWASP Top 10 – это регулярно обновляемый список основных угроз безопасности веб-приложений.

A01 — Недостатки контроля доступа100%
A05 — Некорректная настройка параметров безопасности83%
A07 — Недостатки идентификации и аутентификации79%
A04 — Небезопасное проектирование65%
A03 — Инъекции48%

Выявили уязвимости, что делать дальше?

 

- Устранить уязвимости.

- Применить рекомендации из отчета.

- Внедрить защитные средcтва.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

  • Под объектом аудита мы подразумеваем 1 домен/сабдомен (без wildcard) и до 50.000 строк кода.

  • После устранения уязвимости мы проводим проверку корректности, но ограничиваемся только выявленными уязвимостями.

  • Бывает и такое. Но расслабляться не стоит, аудит безопасности не дает 100% выявления уязвимостей. Для усиления безопасности веб-приложений рекомендуем использовать WAF.

КОНТАКТЫ

 

Telegram:

@bug_hunter_ru

Телефон:

+7 995 682 4884