Top Categories

Spotlight


Анализ защищенности веб-приложений

Веб-приложения банков, такие как интернет банкинг, вэб приложения для оказания IT поддержки клиентам и сотрудникам банка, вэб приложения для онлайн выдачи займов и кредитов и др. находятся в сети интернет и могут подвергаться атакам хакеров, итогами которых являются утечки данных, краже аккаунтов, нелегитимному переводу денежных средств. Для выявления уязвимостей, которые могут привести к угрозам и рискам в области информационной безопасности мы используем методологию проведения анализа защищенности вэб приложения, опираясь на стандарты и лучшие практики в области информационной безопасности и проведения тестирования на проникновения (OWASP ТОР 10, SANS ТОР 25, OSSTTM, и др.)

В рамках выполнения анализа мы используем три различных метода:

  • «Черный» ящик. Хакер не обладает учетной записью в веб-приложении.
  • «Серый» ящик. Хакер обладает учетной записью пользователя веб-приложения.
  • «Белый» ящик. Хакер обладает учетной записью пользователя веб-приложения, а также исходным кодом веб-приложения.

В ходе работ проводим следующие проверки:

  • Ручной анализ защищенности других сервисов хоста, на котором расположено исследуемое веб-приложение;
  • Анализ защищенности веб-приложений с использованием автоматических сканеров уязвимостей;
  • Ручные проверки уязвимостей в соответствии с базами уязвимостей OWASPTOP 10 и SANS ТОР 25;
  • Поиск логических уязвимостей веб-приложения (накручивание денежных средств, нелегитимные переводы денежных средств клиента, и др.)

В результате банк получает:

  • Подробный отчет о выявленных уязвимостях с использованием риск- ориентированного подхода;
  • Взаимодействие и помощь разработчикам веб-приложения при устранении уязвимостей;
  • Видеозапись эксплуатации критичных уязвимостей;Высокоуровневую презентацию для высшего руководства банка о текущем состоянии.