БАГ ХАНТЕР

ПЛАТИТЕ ТОЛЬКО ЗА РЕАЛЬНЫЕ УЯЗВИМОСТИ

Аудит безопасности веб-приложений с фиксированным временем и стоимостью.

ИНФО

Веб-приложение - одна из наиболее предпочтительных целей для кибер атак. Его компрометация может повлечь за собой финансовые и репутационные потери, а также создать точки входа в инфраструктуру компании.

Аудит безопасности веб-приложений позволяет выявить и устранить проблемы до того, как ими воспользуется нарушители.

Наш подход основывается не только на признанных практиках в области, таких как OWASP, но главным образом на понимании исследуемого приложения и природы уязвимостей.

Наши сотрудники отмечены в «залах славы» компаний Yandex, VK, Google, Apache, Telegraph (Telegram), Apple; являются контрибьюторами и членами международного консорциума OWASP (Open Web Application Security Project).

  • Выявление уязвимостей крупнейших Российских и зарубежных ресурсов.
  • Опыт нахождения т.н. уязвимостей "нулевого дня".
  • Исследования, публикации и выступления по вопросам безопасности веб-приложений.

Как стать нашим клиентом и проверить безопасность сайта?

 

  • 01 Работаем только с юридическими лицами

    По согласию сторон подписываем договор о неразглашении (NDA), договор. Рекомендуется использование ЭДО: Контур.Диадок, Калуга Астрал, Такском или СБИС.

  • Оптимальный вариант - написать нам с почты проверяемого домена. В качестве меры проверки мы принимаем размещенный в корне сайта файл bug-hunter.txt с текстом "Аудит веб-приложения согласован. Акцептированы риски, связанные с применением автоматизированных средств выявления уязвимостей."

  • Если вы дадите нам на аудит приложение уровня крупного e-commerce, социальной сети или финансовой организации - мы вам скорее всего откажем. Также это касается сайтов политических движений, дефолтовых установок CMS, исходного кода популярных фреймворков, или сайтов, которые вам не принадлежат.

 

Процесс

Подписываем NDA (при необходимости), выбираете тарифный план, мы проверяем соблюдение всех условий и приступаем к аудиту безопасности сайта. Работы проводятся дистанционно. После закрытия уязвимости проверяем корректность ее устранения. После этого выставляем вам счет согласно тарифу.

Определяем тип работ

Определяем тариф, время и объекты аудита

Подписываем договор

Согласовываем тип работ и проверяем владение ресурсом

Проводим работы

Выявляем уязвимости и недостатки архитектуры

Отправляем отчет

Направляем выявленные уязвимости и рекомендации по устранению

Цены

Мы не берем деньги за пустые отчеты. Наш проектный опыт позволяет нам в краткие сроки провести анализ веб-приложения и выявить его слабые стороны, уязвимости и недостатки архитектуры.

Динамический анализ

50.000*3 дня

  • Автоматизированное сканирование
  • Валидация уязвимостей
  • Отчет
  • Рекомендации

Ручное тестирование

200.000*15 дней

  • Ручное выявление уязвимостей
  • Логические уязвимости
  • Выявление утечек
  • Анализ веб-окружения
  • Анализ защитных средств
  • Оценка по OWASP TOP 10
    • * Максимальная суммарная стоимость. Даже если общая сумма уязвимостей превысит это значение - цена не изменится.

Статический анализ

80.000*5 дней

  • Автоматический анализ кода
  • Проверка конфигураций веб-окружения
  • Выявление формальных признаков уязвимостей
  • Отчет
  • Рекомендации

Эффективность методов тестирования безопасности веб-приложения

Максимально обезопасить веб-приложение поможет статический и динамический анализ, применение рекомендаций и внедрение средств защиты.

SAST + DAST + Ручное тестирование + WAF100%
SAST + DAST90%
SAST 80%
DAST 65%

Выявили уязвимости, что делать дальше?

 

- Устранить уязвимости.

- Применить рекомендации из отчета.

- Внедрить защитные средcтва.

Web Application Firewall

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

 

  • Уровень и стоимость уязвимостей

    Низкий (Low): 10 000 рублей;

    Средний (Medium): 20 000 рублей;

    Высокий (High): 50 000 рублей;

    Критичный (Critical): 100 000 рублей.

  • Максимальная стоимость прописывается в договоре и зависит от тарифного плана. В тарифе "Ручной поиск (DAST + SAST)" уязвимости суммируются; при достижении порога в 200.000 рублей, уязвимости, выявленные далее не тарифицируются, но включаются в отчет.

  • После устранения уязвимости мы проводим проверку корректности, но ограничиваемся только выявленными уязвимостями.

  • Под объектом аудита мы подразумеваем 1 домен/сабдомен (без wildcard) и до 50.000 строк кода.

  • Бывает и такое. Но расслабляться не стоит, аудит безопасности не дает 100% выявления уязвимостей. Для усиления безопасности веб-приложений рекомендуем использовать WAF.

КОНТАКТЫ

 

Telegram:

@bugsformoney

Телефон:

+7 995 682 4884