Главная

Аудитбезопасностисайта

Озадачившись вопросом безопасности сайта, вы не только решите заблаговременно проблему, но возможно предотвратите массу проблем для своих клиентов и посетителей.

Зачем нужен аудит безопасностисайта

Уязвимости на сайте несут серьезные угрозы для бизнеса, наверняка это вам известно, но к каким последствиям они могут привести, владельцы бизнеса не всегда понимают. Возможно, управляющие сайтами, именно из-за не понимания последствий, не придают достаточного внимания информационной безопасности сайта. Но давайте разберемся «Так ли страшен волк».

Важнейший элемент бизнеса — это его клиенты, а как повлияет на бизнес информация о том, что из-за уязвимостей на сайте компании, данные кредитных карт клиентов, оказались в руках людей, способных воспользоваться ими в своих корыстных целях, а еще хуже — если воспользуются, как это отразится на бизнесе?

Или к чему приведет утечка персональных данных ваших клиентов, из-за уязвимостей на сайте компании? Как минимум, это очень ценная информация для конкурентов, которой они с удовольствием воспользовались бы. Так заполучив всего лишь данные про ваших клиентов, конкуренты вполне смогут повлиять на доходы вашего бизнеса, переманив их к себе.

Вариантов развития ситуаций с утечкой персональной информации сотни, а потому повлиять на то, как будет развиваться ситуация после ее появления, будет практически не возможно. Потому единственным, верным вариантом недопущения утечки информации, является проведение аудита сайта еще до того, как она случится.

Утечка информации про клиентов и их платежных данных это важнейшая задача для поддержки безопасности сайта. Но к сожалению есть и другие уязвимости способные нанести ущерб вашему сайту и бизнесу в целом. Не редки случаи, когда из-за уязвимостей в коде сайта, злоумышленнику удается добиться заражения вирусом компьютера или другого устройства посетителей вашего сайта. Такое заражение может быть направлено для осуществления атак других компьютеров, или заполучения персональной информации о владельце устройства, его платежных данных, и даже использования в качестве звена ботнета, для осуществления DDOS атак и т.п..

Мы рассмотрели всего несколько причин зачем нужен аудит сайта, конечно их гораздо больше, мы специально не затрагивали методик взлома, которыми злоумышленники могут навредить вашему сайту и бизнесу, про это вы можете узнать на сайте организации The OWASP™ Foundation, которая занимается анализом уязвимостей и составлением рейтинга их опасности.

Когда стоит заказать аудит безопасности сайта

Конечно же первый аудит сайта необходимо проводить еще до того, как он появится в открытом доступе, для исключения ситуации, когда первым к нему доберется злоумышленник. Первый аудит, это только отправная точка для его периодического проведения. Проводить аудит безопасности сайта необходимо не только перед появлением сайта во всемирной паутине и после внесений изменений в код сайта программистом, но и по причине появлению новых уязвимостей, новых методик взлома и их противодействию. Даже использование не актуального программного обеспечения, повышает шансы злоумышленника на взлом. Которое в свою очередь может привести к печальным последствиям. Тем не мнение, никогда не поздно заказать аудит безопасности сайта впервые.

17 years of experience helping people for best solutions

Почему не стоит доверять аудитбезопасностисайта, тем кто его разрабатывал

Разработчики сайтов, зачастую не придают должного внимания безопасности сайта, а иногда даже знают про наличие уязвимостей. Тем не менее передают уязвимый сайт заказчику, в надежде что сайт, не будет представлять собой интереса для злоумышленников, или по таким причинам:

  1. Не желанию переделывать, если «оно и так работает».
  2. Приближению сроков сдачи проекта.
  3. Клиент не компетентен, а потому про уязвимости не узнает.

И это если исключить низкую квалификацию и просто халтурное отношение к проекту, хотя и это не редкость. Так как по-большому счету, для разработчиков главная задача «Что бы работало», а вопрос безопасности остается второстепенным.

Но даже при должном подходе к безопасности своего кода, высокой квалификации, и желанию делать не уязвимые сайты, разработчики просто не способны учесть все потенциальные уязвимости, так как это не их профиль, эту задачу лучше доверить пентестеру!

Пентест сайта — простыми словами, тестирование сайта на проникновение. Именно пентестер может дать оценку безопасности сайта. Пентест, это наше профильное направление, поэтому наша задача не спрятать уязвимости, а найти их, это качественно отличает нас от разработчиков. Мы сделаем все возможное, что бы найти на вашем сайте уязвимости, и поможем от них избавиться.

Настоятельно рекомендуем заказать аудит безопасности сайта, если сайт был написан «Под ключ», так как в большинстве таких случаев, в них используются самописные системы управления сайтом, которые в большей степени подверженны наличию уязвимостям, поскольку их код не всегда подвергается тщательному анализу по многим причинам, например: из-за нехватки человеческих ресурсов, желании сэкономить, не имению в штате высококвалифицированных сотрудников, или банальном не желании исправлению своих ошибок и проверке кода на наличие уязвимостей.

Исследуемые угрозыбезопасности

  • RCE - Remote code execution (выполнение кода на серверной стороне).
  • SQL инъекции (несанкционированный доступ к БД сайта).
  • Authentication and Session Management Bypass (Обход авторизации учетных записей).
  • PHP инъекции (несанкционированное внедрение кода в серверный скрипт).
  • CRLF выполнение несанкционированных команд в системе, атака в заголовки (header).
  • Инъекции в LDAP (изменение LDAP операторов).
  • Remote File Include (RFI) (удаленное включение файла).
  • Local File Include (LFI) (локальное включение файла).
  • Directory traversal attack (траверс директорий ФС сервера).
  • SSRF (межсерверная подделка запросов).
  • XSS (межсайтовый скриптинг, атака на клиента).
  • CSRF (подделка межсайтовых запросов, атака на клиента).
  • File Upload - возможность загрузки произвольных файлов на сервер.
  • Комбинированные техники и методы взлома и атак.
  • Нестандартные техники и методы взлома и атак.
  • Ошибки выполнения скриптов, публикация системных ошибок.

Авто

Автоматический аудит безопасности сайта
$ 500
  • Поиск уязвимостей в автоматическом режиме
  • Анализ веб-окружения
  • Стандартный отчет
  • Рекомендации по безопасности
Популярный

PRO

Комплексный аудит безопасности
$ 1000
  • Поиск уязвимостей в автоматическом режиме
  • Поиск уязвимостей в ручном режиме
  • Анализ веб-окружения
  • Анализ веб-сервера
  • Анализ смежной инфраструктуры
  • Детальный отчет
  • Рекомендации
  • Нагрузочное тестирование (дополнительно)

Защита

Защита сайта от взлома и ботов
$ 200 / месяц
  • Комплексный метод защиты
  • Защита от множества категорий атак: SQL injection, Cross-site Scripting (XSS), Local\Remote File Include и прочих
  • Защита от эксплойтов популярных CMS
  • Защита от сканирования сайта на уязвимости
  • Круглосуточное реагирование на инциденты