Досвід компанії Е-ЛАЙТ, дозволяє виконувати роботи з аналізу захищеності Web-додатків будь-якої складності.

Оцінка захищеності Web-додатків може виконуватися як з використанням методології “чорного” і “сірого” ящиків, так і шляхом аналізу вихідних кодів. Другий спосіб більш ефективний, але і більш трудомісткий.

В ході робіт використовуються загальноприйняті методики аналізу та оцінки безпеки додатків: OWASP TOP 10, Web Application Security Consortium Thread Classification і Common Vulnerability Scoring System. Аналізу піддаються всі компоненти Web-додатків: дизайн, мережева взаємодія, налаштування ОС ( оперативної системи) , зовнішні джерела даних, сховища інформації, використовувані механізми авторизації і аутентифікації, серверні і клієнтські компоненти.

Порядок проведення робіт:

  1. Визначення методу, який доцільно використовувати для аналізу WEB додатків ( “чорний ящик”, аналіз вихідних кодів, поєднання методів).
  2. Проведення інструментальних перевірок і перевірок ручним способом для окремих типів вразливостей (відсікання помилкових спрацьовувань і виявлення вразливостей, які не виявляються автоматизованими засобами). На підставі аналізу характеристик виявлених вразливостей, таких як складність використання, доступність методів експлуатації, можливі втрати в разі атаки і ін., обираються ті з них, які можуть бути використані реальним зловмисником. Після чого проводиться дослідження вразливостей з метою визначення шляхів їх експлуатації, розробка програмного забезпечення для проведення атаки і безпосередньо сама атака.
  3. Всі активні дії (в обов’язковому порядку!) узгоджуються з Замовником.

Результатом роботи буде звіт, що містить:

5
  • Висновки для керівництва, що містять загальну оцінку рівня захищеності WEB додатки.
  • Методику проведення тесту.
  • Інформацію по всіх виявлених вразливостей.
  • Результати експлуатації декількох критичних вразливостей.
  • Рекомендації щодо усунення виявлених вразливостей. Залежно від використовуваного при аналізі підходу рекомендації можуть включати і приклади коректного коду.
  • При необхідності, на основі аналізу структури програми та виявлених вразливостей експерти формують політику фільтрації для використовуваного в компанії Web Application Firewall і інших засобів захисту.

ЗАВАНТАЖИТИ БУКЛЕТ
ЗАВАНТАЖИТИ ПРИКЛАД ЗВІТУ
ЗВ’ЯЗАТИСЯ З НАМИ