В чем особенности пентеста веб-сайта?
Пентест веб-сайтов (веб-приложений) – имитация взлома веб-интерфейсов и внутренних серверов с целью выявления уязвимостей, таких как незащищенные входные данные, позволяющие внедрять посторонний код, SQL-иньекции, XSS-уязвимости и прочие виды уязвимостей, характерных для веб-сайтов.
Цели тестирования
Тестирование на проникновение веб-сайта (веб-приложения) направлено на поиск уязвимостей, эксплуатация которых позволяет потенциальным злоумышленникам получить доступ к обрабатываемой на веб-сайте информации, нарушить функционирование веб-сайта, осуществить подмену главной страницы веб-сайта (дефейсинг).
Методики, этапы и объекты тестирования
Методики тестирования:
Ручной анализ веб-уязвимостей проводится с использованием методологии OWASP Top 10 и включает в себя следующие категории уязвимостей:
- Ошибки контроля доступа
- Криптографические сбои
- Инъекции
- Неправильные конфигурации
- Уязвимые и устаревшие компоненты
- Ошибки идентификации и аутентификации
- Ошибки целостности программного обеспечения и данных
- Регистрация безопасности и мониторинг сбоев
- Подделка запросов на стороне сервера
- Прочие атаки, целью которых является выполнение кода на стороне сервера
- Подбор паролей пользователей веб-приложения
Этапы тестирования:
- Получение предварительной информации о веб-ресурсе на основе доступных источников информации
- Анализ веб-приложения от лица авторизованного и неавторизованного пользователя
- Сканирование на наличие веб-уязвимостей с использованием специализированных инструментальных средств
- Ручная верификация и анализ результатов сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.)
Объекты тестирования:
- Операционные системы
- Веб-серверы
- Веб-приложения
- WAF
- CMS, EDM-системы
Заказ услуг
- по телефону: +7 (925) 203-95-11
- по e-mail: info@globaltrust.ru
- через web-форму