территория успешных проектов
+7 499 322-81-23

Аудит безопасности

 

Аудит безопасности (SecurityAudit) - это услуга, которая позволяет повысить уровень безопасности вашего сайта и интернет приложений. Любой из владельцев веб-сайта (сайтов) может использовать данную услугу, если у него есть потребность проверки уровня безопасности своего сайта, провереи сайта на уязвимости.

Главное, чтобы владельцу веб-сайта (website) было понятно насколько важна безопасность его сайта, необходимость обеспечения его безопасности и ее периодической проверки, для чего и проводят аудит безопасности. Кроме того у владельца веб-сайта должно быть желание уделять внимание данному вопросу, увеличить безопасность сайта до надлежащего уровня. А также выделить на обеспечение безопасности сайта необходимые средства - следует понимать, что обеспечение безопасности требует затрат, которые со временем будут компенсированы и должный уровень безопасности будет приносить дополнительный доход и девиденды.

 

Вы можете заказать проведение  аудита безопасности  для одного сайта, для нескольких сайтов, или же для определенной их части -  наиболее критических моментов (желательно, чтобы вы следили за обеспечением безопасности всех своих веб-сайтов). Услуга является востребованной и доступной для владельцев веб-сайтов всех уровней: небольшого сайта, среднего по размеру проекта или большиого портала. Все должны поддерживать безопасность своих веб-сайтов.

 

Во время проведения аудита безопасности по вашему выбору можно будет провести разные классы уязвимостей. Как те что входят в список веб-уязвимостей WebApplicationSecurityConsortium, так и каких-либо других, которые не оказались в этом списке ( также можно индивидуально работать с поиском специфических уязвимостей).

Также может быть произведена проверка следующих классов уязвимостей:

  •  Аутентификации (Authentication), который имеет подклассы: Brute Force, Weak Password Recovery Validation, Insufficient Authentication.
  •  Авторизации (Authorization), который имеет подклассы: Insufficient Session Expiration, Credential/Session Prediction, Insufficient Authorization, Session Fixation.
  •  Атак на клиентов (Client-side Attacks), имеющий подклассы: Cross-Site Scripting (XSS), Content Spoofing, HTTP Response Splitting и Cross-Site Request Forgery (CSRF).
  •  Выполнения кода (Command Execution), имеющий подклассы: CRLF Injection, Format String Attack, OS Commanding, SSI Injection, SQL Injection, XPath Injection.
  •  Недостаточной защиты информации (Information Disclosure), имеющий подклассы: Web Server/Application Fingerprinting, Directory Indexing, Information Leakage, Predictable Resource Location, Path Traversal.
  • Логических атак (Logical Attacks), который имеет подклассы: Denial of Service, Insufficient Anti-automation, Abuse of Functionality.

 

Как дополнительные услуги во время проведения аудита безопасности (VulnerabilityAssessment) можно заказать такие услуги, как:

 

Проверка исправления найденных при проведении аудита уязвимостей. На практике, веб-разработчики зачастую производят неправильное исправление уязвимостей, таким образом их патчи можно будет обойти, соответственно важно осуществлять проверку эффективности произведенных исправлений.

Исправление уязвимостей. Если у вас самих нет возможности написать необходимые патчи, то можно заказать их написание. Каждый из разработанных патчей будет с максимальной эффективностью защищать от атак.

 

Также можно заказать услуги защиты от вредоносного кода:

 Уведомление о инцидентах секюрити на веб-сайтах.

 Удаление вредоносного кода (malware).

Защита от вредоносного кода (malware)

 

Кроме аудита безопасности своего сайта также можно заказать услуги защиты от malware.

Уведомление о инцидентах секюрити на веб-сайтах.

Можно заказать мониторинг сразу нескольких сайтов. Их можно будет проверить на взлом (дефейс и другие виды взлома) и инфицирование вредоносным кодом (malware). А также по прочим критериям.

 

Проблемы безопасности сайта могут нарушить работу сайта, привести к утечке информации, иметь пагубное влияние на его репутацию, а в случае инфицирования вредоносным кодом - привести к заражению вредоносным кодом пользователей сайта. Причем поисковые системы будут считать ваш сайт “инфицированным”, что приведет к уменьшению трафика из поисковых систем. Поэтому необходимо проверять состояние своего сайта.

Проверка должна производится в автоматическом режиме каждый час, каждые сутки, и в течении всего года. Если возникнут какие-либо секюрити проблемы с сайтом, то вас проинформируют по э-майл.

Удаление вредоносного кода (malware).

Если ваш сайт инфицирован, но вы самостоятельно не можете устранить проблему (найти, а затем удалить все части вредоносного кода со своего сайта), то вы можете заказать услугу удаления malware.

После процедуры очистки, ваш сайт снова будет безопасен для вас и любого посетителя и поисковые системы снимут метку «инфицированности» с вашего сайта (что благоприятно скажется на увеличении трафика с поисковых систем).

Цена на данную услугу будет договорной.

 

При проведении аудита безопасности ваших веб-приложений, наши специалисты , проведут следующие работы:

Автоматическое сканирование сайта на известные уязвимости. Это даст первичную информацию о вашем сайте, которая потребуется на следующем этапе выполнения работ, а также поможет собрать необходимые данные об основных возможных векторах атаки на ваш ресурс или веб-приложения.

Сайт или веб-приложение может тестироваться по методу «Черного ящика». Будет произведен ручной поиск уязвимостей и сделан анализ всех доступных страниц вашего сайта. Особое внимание будет уделено логике работы с разными формами, способам обработки динамического контента и взаимодействию с базами данных.

Оценка рисков. По результатам полученных данных будет произведена классификация возможных угроз и определено количество и качество выявленных рисков.

Разработка рекомендаций и составление отчета. В отчете по аудиту безопасности вашего веб-приложения, будут приведены рекомендации, которые смогут помочь вашим специаличтам устранить причины появления выявленных уязвимостей и в значительной мере повысить безопасность вашего веб-приложения.

тел. +7 499 348-13-81

info@aptekc.ru

От идеи до успеха

2006-2015

Оставить заявку
8 (499) 322-81-238 (495) 514-60-83