= Цель =
Найти уязвимости в веб-приложениях клиента, которые могут быть использованы злоумышленниками для несанкционированного доступа к данным или функционалу приложения.
Полученные данные используются для оценки рисков и разработки мер по устранению уязвимостей, что позволяет повысить уровень защищенности веб-приложений и предотвратить потенциальные атаки.
Услуги по анализу защищенности (пентесту) веб-приложений заключаются в моделировании действий потенциального злоумышленника:
- Черный ящик (black box): тестирование без предварительного знания о внутренней структуре приложения;
- Серый ящик (gray box): тестирование с частичным знанием о приложении, например, с использованием учетных данных пользователя;
= Состав услуги =
- Сбор информации о веб-приложении, включая анализ его функционала и используемых технологий (OSINT);
- Определение точек входа и потенциальных векторов атаки;
- Автоматизированное сканирование веб-приложения для выявления уязвимостей, таких как SQL-инъекции, XSS, CSRF, недостатки аутентификации и авторизации, а также другие уязвимости OWASP Top 10;
- Ручная эксплуатация уязвимостей ввеб-приложениях;
- Формирование рекомендаций по устранению выявленных уязвимостей и повышению уровня защищенности веб-приложения.
= Результат =
- перечень проверенных систем и/или границы услуг;
- оценку критичности выявленных уязвимостей и ошибок конфигурации обнаруженных систем;
- детализацию используемых векторов атак и методов эксплуатации выявленных уязвимостей (включая свидетельства успешных эксплуатаций уязвимостей);
- описание рисков выявленных уязвимостей для организации;
- рекомендации по устранению выявленных уязвимостей;
- другую ценную информацию о проведенном аудите.
Результаты работ оформляются в детальный отчет, содержащий следующие элементы:
