Цель
Найти уязвимости в веб-приложениях клиента, которые могут быть использованы злоумышленниками для несанкционированного доступа к данным или функционалу приложения.
Полученные данные используются для оценки рисков и разработки мер по устранению уязвимостей, что позволяет повысить уровень защищенности веб-приложений и предотвратить потенциальные атаки.
Услуги по анализу защищенности (пентесту) веб-приложений заключаются в моделировании действий потенциального злоумышленника:
- Черный ящик (black box): тестирование без предварительного знания о внутренней структуре приложения;
- Серый ящик (gray box): тестирование с частичным знанием о приложении, например, с использованием учетных данных пользователя.
Состав услуги
- Сбор информации о веб-приложении, включая анализ его функционала и используемых технологий (OSINT);
- Определение точек входа и потенциальных векторов атаки;
- Автоматизированное сканирование веб-приложения для выявления уязвимостей, таких как SQL-инъекции, XSS, CSRF, недостатки аутентификации и авторизации, а также другие уязвимости OWASP Top 10;
- Ручная эксплуатация уязвимостей в веб-приложениях;
- Формирование рекомендаций по устранению выявленных уязвимостей и повышению уровня защищенности веб-приложения.
Преимущества проведения тестирования на проникновения в РАД КОП
Все работы выполняются по договору NDA
Исходный код, сетевые данные, отчёты и логфайлы передаются только заказчику, не передаются третьим лицам.
Используются только безопасные каналы связи.
Исследование проводится в согласованные окна и по согласованному ТЗ.
Применяем международные стандарты и руководства по обеспечению информационной безопасности, в том числе:
- PCI DSS Penetration testing guidance (руководство по проведению тестирования на проникновение PCI DSS)
- OWASP WSTG (руководство по тестированию безопасности веб-приложений)
- OSSTMM (методология тестирования безопасности открытых систем)
- РС БР ИББС-2.6-2014 (рекомендации в области стандартизации Банка России)
Бесплатно перепроверим выявленные уязвимости после их исправления
В течении 20 дней после окончания работ.
Что позволит вам убедиться в корректности устранения ранее выявленных уязвимостей и безопасности ИТ-инфраструктуры.
Консультационное сопровождение
По согласованному SLA в течение 1 года.
