Тестирование на проникновение веб-ресурсов и веб-приложений. Анализ состояния безопасности
Когда нужно одержать победу над злоумышленниками, приходится действовать их же методами. Смоделировать атаку взломщика, то есть пытаться получить несанкционированный доступ к конфиденциальной информации. Но не в преступных целях, а, чтобы отыскать и закрыть потенциальные «лазейки». Не только внутренние, но и связанные со сторонними сервисами. Для сравнения рассмотрим действия пентестера (тестировщика на проникновение) и злоумышленника.
Задачи хакера:
- Взлом и получение конфиденциальной информации ресурса
- Выведение веб-сайта из строя по заказу конкурентов или из хулиганских побуждений.
- Монетизация, вымогательство денег.
Цели пентестера (тестировщика):
- Анализ и проверка безопасности приложений.
- Обнаружение и оценка уязвимостей веб-приложений. Имитация действий хакера (с согласия владельца сайта).
- Предоставление информации заказчику о направлениях атаки и оценка возможных рисков.
- Предоставление рекомендаций по устранению слабых мест, не защищенных отпроникновения взломщиков, и общему улучшению информационной безопасности
Каждый случай индивидуален, но обычно аудит приложения включает 4 этапа
Согласование ТЗ
В первую очередь – глубины и методов анализа. Мы готовы к любым условиям: от «черного ящика», при котором пентестер располагает только общедоступной информацией о цели аудита сайта, до изучения исходного кода. На тестовом стенде или основном сервере. В каждом из этих случаев неразглашение конфиденциальных данных гарантировано условиями договора
Сбор информации
От непосредственного взаимодействия с веб-приложением и подключенными сервисами до изучения github- аккаунтов сотрудников и даже вакансий.Именно так и работают взломщики – используют все возможности, чтобы узнать как можно больше о технологиях и внутренних инструментах компании
Имитация атаки
Наша задача – проверить все точки входа и найти слабые места.Уязвимые объекты могут быть связаны с инфраструктурой и логикой веб-приложения, аутентификацией, контролем доступа, управлением сессиями и входными данными. В нашем арсенале любые методы: от подбора паролей до SQL-инъекций
Составление отчета
Процедура включает не только список найденных уязвимостей и сценариев компрометирования веб-приложения, но и мер, которые необходимо предпринять. Такой отчет – ключ к повышению уровня информационной безопасности