
Пен-тест защищенности web-сайта представляет собой разновидность тестирования на проникновение – вид технического аудита, при котором экспертами производится имитация действий злоумышленника.
Цель пен-теста является обнаружение уязвимостей и наиболее вероятных путей проникновения, которые могут быть использованы для получения доступа к ресурсам и данным организации.
Контроль защищённости web-сайтов государственных организаций и операторов ГИС обязателен согласно:
- Постановлению Правительства РФ от 24 ноября 2009 г. № 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти».
- Постановлению Правительства РФ от 10 июля 2013 г. № 583 «Об обеспечении доступа к общедоступной информации о деятельности государственных органов и органов местного самоуправления в информационно-телекоммуникационной сети „Интернет“ в форме открытых данных».
- Постановлению Правительства РФ от 8 октября 2014 г. № 1024 г. «О внесении изменений в перечень информации о деятельности федеральных органов исполнительной власти, руководство деятельностью которых осуществляет Правительство Российской Федерации, и подведомственных им федеральных органов исполнительной власти, размещаемой в сети Интернет».
- Приказу ФСБ и ФСТЭК от 31 августа 2010 г. № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования».
- Приказу ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
В состав данной услуги входит ряд работ:
- активный и пассивный сбор информации о web сайте и других корпоративных сетевых сервисов доступных из сети Интернет;
- оценка защищенности сайта к типовым атакам из списка OWASP Top10 (внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнением команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации и т.д.);
- ручное тестирование защищенности форм аутентификации пользователя (к примеру, таких как личный кабинет) - ОПЦИЯ;
- ручное тестирование защищенности СУБД от внешних воздействий (внедрение кода, нарушение целостности данных, несанкционированное копирование базы) - ОПЦИЯ;
- проверка устойчивости сайта к DDoS-атакам - ОПЦИЯ;
- поиск уязвимостей в используемом стеке web технологий и системного ПО.
Результатом тестирования защищённости сайта будет являться отчет, содержащий:
- Методику проведения теста.
- Выводы для руководства, содержащие общую оценку уровня защищенности.
- Описание выявленных недостатков системы защиты web сайта.
- Описание хода тестирования с информацией по всем выявленным уязвимостям и результатам их эксплуатации.
- Рекомендации по устранению выявленных уязвимостей.