Top.Mail.Ru
Аудит безопасности сайта

АУДИТ БЕЗОПАСНОСТИ САЙТА

тестирование на проникновение | аудит исходного кода | анализ следов взлома | защита и мониторинг | нагрузочное тестирование

Аудит безопасности сайта

ИНФО

Веб-приложение - одна из наиболее предпочтительных целей для кибер атак. Его компрометация может повлечь за собой финансовые и репутационные потери, а также создать точки входа в инфраструктуру компании.

Аудит безопасности сайта — это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению.

Наш подход основывается не только на признанных практиках в области, таких как OWASP, но главным образом на понимании исследуемого приложения и природы уязвимостей.

Аудит безопасности веб-приложений позволяет выявить и устранить проблемы до того, как ими воспользуется нарушители.

Наши сотрудники отмечены в «залах славы» компаний Yandex, VK, Google, Apache, Telegraph (Telegram), Apple; являются региональными лидерами и контрибьюторами международного консорциума OWASP (Open Web Application Security Project); входят в топ рейтинга исследователей БДУ ФСТЭК.

  • Security-чемпионы: выявление уязвимостей крупнейших Российских и зарубежных ресурсов.
  • Опыт нахождения т.н. уязвимостей "нулевого дня" (подтверждённые CVE).
  • Исследования, публикации и выступления по вопросам безопасности веб-приложений.
  • Основатели первой в РФ платформы выплаты вознаграждений за найденные уязвимости Bug Bounty Ru.
  • Организаторы и амбасcадоры киберучений и концепции киберполигонов.

Как стать нашим клиентом и проверить безопасность сайта?

 

  • 01 Подписание договора

    По согласию сторон подписываем договор о неразглашении (NDA), договор. Рекомендуется использование ЭДО: Контур.Диадок, Калуга Астрал, Такском или СБИС.

  • Для подтверждения легитимности работ (аудит, нагрузочное тестирование) необходимо на фирменном бланке предоставить письмо о согласовании работ.

  • Для проведения работ необходимо будет предоставить контакт ответственного лица/технического специалиста, согласовать время проведения.

 

Процесс

Подписываем NDA (при необходимости), выбираете тарифный план, мы проверяем соблюдение всех условий и приступаем к аудиту безопасности сайта. Работы проводятся дистанционно. После закрытия уязвимости проверяем корректность ее устранения. После этого выставляем вам счет согласно тарифу.

Определяем тип работ

Определяем тариф, время и объекты аудита

Подписываем договор

Согласовываем тип работ и проверяем владение ресурсом

Проводим работы

Выявляем уязвимости и недостатки архитектуры

Отправляем отчет

Направляем выявленные уязвимости и рекомендации по устранению

Услуги

Наш проектный опыт позволяет нам в краткие сроки (5-20 дней) провести анализ веб-приложения и выявить его слабые стороны, уязвимости и недостатки архитектуры. После устранения уязвимости мы проводим проверку корректности, но ограничиваемся только выявленными уязвимостями.

Экспресс аудит

Рекомендуется для проектов со статическим контентом.

  • Автоматизированное сканирование
  • Валидация уязвимостей
  • Оценка по OWASP Top 10
  • Отчет
  • Рекомендации

Экспертный аудит

Рекомендуется для проектов, содержащих платежные модули, интеграцию со сторонними сервисами и мобильные приложения.

  • Ручное выявление уязвимостей
  • Фаззинг
  • Логические уязвимости
  • Анализ веб-окружения
  • Анализ защитных средств
  • Оценка по OWASP TOP 10
  • Оценка по OWASP API Security Top 10
  • Оценка по OWASP Mobile Top 10
  • Отчет
  • Рекомендации

Анализ следов взлома

Рекомендуется в случаях, когда сайт под атакой ботов, заражен вирусами или содержит следы взлома.

  • Анализ журналов веб-сервера
  • Выявление вредоносного кода
  • Нейтрализация угроз
  • Отчет

Анализ исходного кода

Рекомендуется на этапе разработки новых проектов или их модулей.

  • Автоматический анализ кода
  • Фаззинг
  • Выявление формальных признаков уязвимостей
  • Отчет
  • Рекомендации

Нагрузочное тестирование

Рекомендуется для выявления "узких мест" архитектуры проекта, проверки надежности ресурсов, защиты от DoS атак.

  • Нагрузочное тестирование L3/L4
  • Нагрузочное тестирование L7
  • Гео-распределенная сеть
  • Отчет
  • Рекомендации

Защита сайта от атак

Web Application and API Protection (WAAP) — это совокупность методов и технологий, которые используются для защиты веб-приложений и сервисов от атак и уязвимостей. WAAP включает в себя такие технологии, как WAF-NG, сканер уязвимостей, автоматическое обнаружение и блокирование атак 0-дня (в том числе с помощью виртуального патчинга), выявление аномалий с помощью технологий Machine Learning и смарт-капчи. WAAP является эволюцией классического WAF и предлагает продвинутые автоматизированные механизмы защиты для постоянно меняющихся веб-приложений.

Аудит безопасности сайта

Наиболее распространенные уязвимости веб-приложений

Оценка рисков безопасности сайта проводится по рейтингу OWASP Top 10 – это регулярно обновляемый список основных угроз безопасности веб-приложений.

A01 — Недостатки контроля доступа100%
A05 — Некорректная настройка параметров безопасности83%
A07 — Недостатки идентификации и аутентификации79%
A04 — Небезопасное проектирование65%
A03 — Инъекции48%

Выявили уязвимости, что делать дальше?

 

- Устранить уязвимости.

- Применить рекомендации из отчета.

- Внедрить защитные средcтва.

- Разместить сервис на программе Bug Bounty.

Наши клиенты

ООО «БИТРИКС»

Благодарим компанию ООО «Киберполигон» за плодотворное сотрудничество в области информационной безопасности. С вашей помощью наши продукты остаются надежными и защищенными для наших клиентов.

«Бессмертный полк»

Благодарим компанию ООО «Киберполигон» за помощь в укреплении информационной безопасности ресурса moypolk.ru. С вашей помощью семейные истории сотен тысяч людей в России и за рубежом остаются под надежной защитой.


АО «Лакса Трейдинг»

Выражаем благодарность компании ООО «Киберполигон» за плодотворное сотрудничество в области информационной безопасности. Совместные работы по анализу зашишенности внутренней корпоративной сети и сайта sokolov.ru позволили повысить уровень зашишенности информационных систем и ресурсов компании.


ДИТ Москва

Результаты данной работы получили высокую оценку со стороны руководства города. Благодаря тесной и слаженной работе удалось не допустить технических сбоев в задействованных информационных системах, системах связи и аппаратном обеспечении.


КОНТАКТЫ

 

Аудит безопасности веб-приложений

тестирование на проникновение | аудит исходного кода | анализ следов взлома | защита и мониторинг | нагрузочное тестирование

Telegram:

@cyberpolygon

Телефон:

+7 499 113 13 37