Опыт компании Е-ЛАЙТ, позволяет выполнять работы по анализу защищенности Web-приложений любой сложности.

Оценка защищенности Web-приложений может выполняться как с использованием методик «черного» и «серого» ящиков, так и путем анализа исходных кодов. Второй способ более эффективен, но и более трудоемок.

В ходе работ используются общепринятые методики анализа и оценки безопасности приложений: OWASP TOP 10, Web Application Security Consortium Thread Classification и Common Vulnerability Scoring System. Анализу подвергаются все компоненты Web-приложения: дизайн, сетевое взаимодействие, настройки ОС, внешние источники данных, хранилища информации, используемые механизмы авторизации и аутентификации, серверные и клиентские компоненты.

Порядок проведения работ:

  1. Определение метода, который целесообразно использовать для анализа WEB приложения («черный ящик», анализ исходных кодов, сочетание методов).
  2. Проведение инструментальных проверок и проверок ручным способом для отдельных типов уязвимостей (отсечение ложных срабатываний и выявление уязвимостей, которые не обнаруживаются автоматизированными средствами). На основании анализа характеристик обнаруженных уязвимостей, таких как сложность использования, доступность методов эксплуатации, возможные потери в случае атаки и др., выбираются те из них, которые могут быть использованы реальным злоумышленником. После чего проводится исследование уязвимостей с целью определения путей их эксплуатации, разработка программного обеспечение для проведения атаки и непосредственно сама атака.
  3. Все активные действия (в обязательном порядке!) согласовываются с Заказчиком.

Результатом работы будет являться отчет, содержащий:

5
  • Выводы для руководства, содержащие общую оценку уровня защищенности WEB приложения.
  • Методику проведения теста.
  • Информацию по всем выявленным уязвимостям.
  • Результаты эксплуатации нескольких критичных уязвимостей.
  • Рекомендации по устранению выявленных уязвимостей. В зависимости от используемого при анализе подхода рекомендации могут включать и примеры корректного кода.
  • При необходимости, на основе анализа структуры приложения и обнаруженных уязвимостей эксперты формируют политику фильтрации для используемого в компании Web Application Firewall и других средств защиты.

СКАЧАТЬ БУКЛЕТ
СКАЧАТЬ ПРИМЕР ОТЧЕТА
СВЯЗАТЬСЯ С НАМИ