Продукты и услуги

Пен-тест защищенности веб-сайта

Laptop_hands

Пен-тест защищенности web-сайта представляет собой разновидность тестирования на проникновение – вид технического аудита, при котором экспертами производится имитация действий злоумышленника.

Цель пен-теста является обнаружение уязвимостей и наиболее вероятных путей проникновения, которые могут быть использованы для получения доступа к ресурсам и данным организации.

Контроль защищённости web-сайтов государственных организаций и операторов ГИС обязателен согласно:

Постановлению Правительства РФ от 24 ноября 2009 г. № 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти».
Постановлению Правительства РФ от 10 июля 2013 г. № 583 «Об обеспечении доступа к общедоступной информации о деятельности государственных органов и органов местного самоуправления в информационно-телекоммуникационной сети „Интернет“ в форме открытых данных».
Постановлению Правительства РФ от 8 октября 2014 г. № 1024 г. «О внесении изменений в перечень информации о деятельности федеральных органов исполнительной власти, руководство деятельностью которых осуществляет Правительство Российской Федерации, и подведомственных им федеральных органов исполнительной власти, размещаемой в сети Интернет».
Приказу ФСБ и ФСТЭК от 31 августа 2010 г. № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования».
Приказу ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

В состав данной услуги входит ряд работ:

активный и пассивный сбор информации о web сайте и других корпоративных сетевых сервисов доступных из сети Интернет;
оценка защищенности сайта к типовым атакам из списка OWASP Top10 (внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнением команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации и т.д.);
ручное тестирование защищенности форм аутентификации пользователя (к примеру, таких как личный кабинет) - ОПЦИЯ;
ручное тестирование защищенности СУБД от внешних воздействий (внедрение кода, нарушение целостности данных, несанкционированное копирование базы) - ОПЦИЯ;
проверка устойчивости сайта к DDoS-атакам - ОПЦИЯ;
поиск уязвимостей в используемом стеке web технологий и системного ПО.

Результатом тестирования защищённости сайта будет являться отчет, содержащий:

Методику проведения теста.
Выводы для руководства, содержащие общую оценку уровня защищенности.
Описание выявленных недостатков системы защиты web сайта.
Описание хода тестирования с информацией по всем выявленным уязвимостям и результатам их эксплуатации.
Рекомендации по устранению выявленных уязвимостей.

Остались вопросы?

Задайте их нам, и мы ответим в ближайшее время.

Question

Или свяжитесь с нами по телефону:
+7 (499) 372-06-45

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.