Как это работает
Эксперты компании ITGLOBAL.COM оценивают реальный уровень безопасности веб-приложений и их устойчивости к хакерским атакам. Аудит помогает вам найти уязвимости и ошибки в конфигурации, оценить надежность защиты web-приложений и повысить общий уровень информационной безопасности.
Что вы получаете
- Подробный отчет с описанием найденных уязвимостей.
- Наши специалисты оценивают степень их опасности и приводят конкретные примеры того, как их может использовать злоумышленник.
- Рекомендации по исправлению найденных проблем.
Зачем тестировать веб-приложения
Успешная атака на ваши веб-приложения может привести к двум проблемам — остановке работы компании и утечке пользовательских данных. Каждый час простоя — это клиенты, которых вы потеряли. Недоступный (даже ненадолго) сервис в сознании клиентов — это ненадежный сервис.
Утечка личных данных пользователей (ПДн) — это серьезный урон для вашей репутации, оправиться от которого не всегда просто. Проще заработать имидж компании, которая халатно относится к безопасности личных данных клиентов. Вдобавок утечка ПДн подразумевает нарушение 152-ФЗ, за которое предусмотрена административная ответственность, включая штрафы.
Как мы работаем
Эксперты ITGLOBAL.COM проверяют фронтэнд и бэкэнд (клиентская и серверная часть веб-приложений). Они тестируют конфигурацию ПО, бизнес-логику приложений, среды передачи данных, корректность обработки входной информации, настройки механизмов аутентификации и разграничения прав доступа. Анализируется бизнес-логика веб-приложений и дается оценка эффективности используемых средств защиты. В ходе работы используются разные методики тестирования, в зависимости от ваших задач.
- White Boх. Здесь имитируется атака от злоумышленника, у которого есть полный доступ к веб-приложению и его исходному коду.
- Grey Box. Аудитор имитирует атаку хакера, у которого уже есть доступ к веб-приложению и с определенными правами.
- Black Box. Вид атаки, при котором у аудиторам известны только внешние IP-адреса и URL общедоступных сервисов: веб-сайтов и серверов.
Работа наших аудиторов отвечает требованиям общепринятых отраслевых стандартов: Open Web Application Security Project Testing Guide, Open Source Security Testing Methodology Manual, Web Application Security Consortium.
Зачем нужен пентест веб-приложений
Сервисы критически важны для работы вашей компании. Клиенты доверяют им свои персональные данные, совершают заказы или же работают с ними.
Рынок, на котором вы работаете высококонкурентный, клиенты постоянно нуждаются в ваших услугах и недоступность веб-приложений абсолютно недопустима.
Вы хотите добиться высокого уровня информационной безопасности в компании.
Почему ITGLOBAL.COM Security
Наши клиенты
FAQ
- SQL-инъекции — позволяют получить доступ к базе данных.
- XSS (Cross-Site Scripting) — внедрение вредоносного кода в браузер пользователя.
- Ошибки в аутентификации — слабые пароли, обход авторизации.
- Небезопасное управление сессиями — перехват или угон сессии.
- Broken Access Control — доступ к данным/функциям других пользователей.
- Уязвимости API — раскрытие данных, обход бизнес-логики.
- Misconfiguration — ошибки в настройке серверов и СУБД.
- Exposed sensitive data — утечки персональных или финансовых данных.
- Минимум 1 раз в год;
- Банки и НКО обязаны проверять инфраструктуру 2 раза в год (согласно 683-П ЦБ РФ);
- При обновлении или масштабировании инфраструктуры;
- При запуске нового ИТ-ландшафта или изменении периметра безопасности.
- Законам о несанкционированном доступе к компьютерной информации (ст. 272–274 УК РФ),
- Требованиям защиты персональных данных (152-ФЗ),
- Соблюдению конфиденциальности коммерческой информации.
Для критически важных объектов или государственных систем могут потребоваться дополнительные согласования с регуляторами. Все условия тестирования фиксируются в договоре и NDA.