Услуги

Аудит веб-приложений

На сегодняшний день бизнес многих организаций работает полностью в Интернете. Это интернет-магазины, онлайн-СМИ, интернет-банкинг, а также различные веб-порталы, сайты, онлайн-сервисы и т.д.  Да и классические корпоративные структуры имеют свои представительства в глобальной сети, а  часть бизнес-процессов уже осуществляется онлайн.  В такой ситуации возрастают риски ИБ, связанные именно с уязвимостями веб-приложений, ведь в случае взлома того же корпоративного сайта велики репутационные издержки для компании, а в случае хакерской атаки на Интернет-проект дело может закончиться огромными потерями и закрытием бизнеса.  Также есть вероятность получения несанкционированного доступа к внутренним ресурсам корпоративной сети в случае взлома сайта компании. «Предупрежден -  значит, вооружен», гласит народная мудрость.  А в нашем случае, это означает, что нужно всегда быть готовым к атаке на ваши веб-приложения, поэтому стоит выявить заранее все уязвимости, составить модель угроз и проанализировать потенциальные риски  ИБ и возможные вектора атак.  Эти мероприятия проводятся в рамках аудита безопасности веб-приложений силами специалистов ИБ.
Итак, основные задачи аудита безопасности веб-приложений:
-    проверка безопасности архитектуры веб-сервера;
-    обнаружение уязвимостей веб-приложения;
-    эксплуатация  возможных уязвимостей в веб-приложении (по предварительному согласованию с заказчиком);
-    выявление векторов атаки, оценка рисков, построение модели угроз;
-    предоставление детального отчета с рекомендациями по устранению уязвимостей и по улучшению системы защиты сайта.
В принципе методы аудита схожи с методами, которые применяют злоумышленники, пытаясь взломать веб-ресурс, разница только в целях этих действий.
Этапы  аудита безопасности веб-приложений:
1.    Мероприятия по «разведке», которые включают в себя предварительный сбор информации о веб-ресурсе.  Это делается с помощью специальных поисковых запросов,  поиска в кэше поисковиков, на ресурсах типа Shodan,  в  эккаунтах  соц. сетей, на кадровых порталах, github и т.д.  Специалист изучает логику работы приложения и его инфраструктуру, проверяет исходный код  сайта,  выявляет  тип и версию CMS, используемые скрипты, шаблоны оформления, плагины и т.д.
2.    Поиск установленных систем защиты (WAF или IDS/IPS).
3.    Автоматическое сканирование веб-приложения с помощью специальных программ -  сканеров.
4.    Поиск чувствительной информации в папках веб-сайта, в служебных файлах, в архивах с бэкапами БД сайта и т.д.
5.    Ручное выявление уязвимостей (попытки выполнения  SQL-инъекций, эксплуатации XSS-уязвимости и т.д.).
6.    Проверка систем аутентификации, авторизации, парольной защиты, форм ввода данных. Тестирование управления сессиями  и проверка разграничения прав доступа к сайту.
7.    Оценка рисков, анализ угроз и их классификация.
8.    Составление рекомендаций заказчику по устранению угроз, предоставление отчета.
9.    Внедрение мер по обеспечению ИБ.
Остановимся кратко на методах, которые используют специалисты ИБ для проведения аудита веб-приложений.
Метод черного ящика (Black Box).  Тестирование веб-приложения проводится без предоставления какой-либо информации от заказчика, только с помощью собранных данных в ходе «разведки».
Метод белого ящика (White Box).    В этом случае специалист имеет сведения о структуре, исходном коде веб-приложения, характеристиках серверного ПО, аутентификационных данных и т.д. Информация предоставляется службами ИБ и ИТ заказчика.
Метод серого ящика (Grey Box).    Специалисту предоставляются аутентификационные данные и права обычного пользователя в системе. В этом случае, он пытается повысить свои права до администраторских привилегий.
Надо отметить, что уязвимостей, которые имеются в веб-приложениях не так уж и много, они типовые и классифицированы сообществом OWASP (Open Web Application Security Project).
Приведем список OWASP TOP-10 в версии 2017 года:
1.    Инъекции.
2.    Нарушения в  системе аутентификации и управления сессиями.
3.    Утечки чувствительных данных.
4.    Внедрение внешних XML-объектов.
5.    Нарушение контроля доступа.
6.    Небезопасная конфигурация.
7.    Межсайтовый скриптинг.
8.    Небезопасная десериализация.
9.    Использование компонентов с известными уязвимостями.
10.    Отсутствие журналирования и мониторинга.
Аудит безопасности веб-приложений – это работа, которая требует узкопрофессиональных знаний и практических навыков в области информационной безопасности, поэтому советуем обращаться только к профессионалам.  Специалисты компании «ITCS» выполнят аудит ваших веб-ресурсов качественно и быстро с предоставлением расширенного отчета и рекомендаций по устранению угроз ИБ.












Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами