Веб-приложения

В настоящее время огромное количество организацией обладает собственными web-приложениями. Они используются для самых разнообразных целей, например, для работы с клиентами, информирования, обеспечения работы сотрудников и т.д.

Хакерским атакам подвергаются не только крупные web-сервисы, но и даже небольшие web -приложения, в рамках нецелевых атак с применением общедоступных инструментов. Потому вне зависимости от масштабов деятельности – все web-сервисы компании должны быть надежно защищены.

Основные цели злоумышленников при атаке на web-приложения можно разделить на следующие категории:

  • Осуществить несанкционированный доступа к конфиденциальной информации (персональные данные, платежные данные, внутренняя информация и т.д.);
  • Получить привилегированные права для совершения нелегитимных действий (доступ к правам чужих учетных записей пользователей, изменение размещенной информации, доступ к корпоративным ресурсам);
  • Сделать web-сервис недоступным (подробнее о противодействии атакам типа «отказ в обслуживании»);

При успешной реализации этих целей компания, подвергшаяся атаке, несет как имиджевые, так и финансовые потери. Анализ защищенности web-приложений поможет убедиться, что конфиденциальные данные останутся таковыми, а пользователю будет доступно сделать только то, что положено в рамках прав доступа. В рамках анализа защищенности могут проводиться 2 вида работ:

  • Внешний анализ защищенности веб-приложения;
  • Аудит исходного кода;

Задачи аудита

Внешний анализ защищенности web-приложения позволяет решить следующие задачи:

1

Выявить уязвимости, которые может использовать внешний злоумышленник;

2

Проверить уровень безопасности в бизнес логике web-приложения;

3

Определить качество используемых средств защиты web-приложения.

Объект исследования

Объектом исследования в данном виде анализа защищенности является front-end, то есть «оболочка» web-приложения, доступная внешнему пользователю.

Объект_Анализ защищенности web-приложенийВыявление уязвимостей, связанных с логикой работы web-приложенияАнализ бизнес-логикии программных средств web-приложенияОценка найденных недостатков и уязвимостейи возможных последствийВыявление уязвимостей, связанных с разграничением прав доступаАнализ защищенности обмена информациимежду клиентом и web-приложениемАнализ парольной политикиВидыпроверок

К основным видам проверок относятся:

  • Анализ бизнес-логики и программных средств web-приложения;
  • Анализ защищенности обмена информации между клиентом и web-приложением;
  • Выявление уязвимостей, связанных с разграничением прав доступа;
  • Выявление уязвимостей, связанных с логикой работы web-приложения;
  • Анализ парольной политики;
  • Оценка найденных недостатков и уязвимостей и возможных последствий.

Результат проекта

Результатом проведения анализа защищенности web-приложения будет экспертный отчет, содержащий:

Результат_Анализ защищенности web-приложенийРекомендации по закрытию уязвимостейи повышению текущего уровня защищенностиДемонстрации реализации выявленных значимых уязвимостейРезультатыработыПеречень обнаруженных уязвимостей, ошибок конфигурации и других выявленных недостатков web-приложения с точки зрения информационной безопасности
  • Перечень обнаруженных уязвимостей, ошибок конфигурации и других выявленных недостатков web-приложения с точки зрения информационной безопасности;
  • Демонстрации реализации выявленных значимых уязвимостей;
  • Рекомендации по закрытию уязвимостей и повышению текущего уровня защищенности.

Примеры проектов

Свяжитесь с нами

Россия, 115280, Москва,
ул. Ленинская Слобода 26,
бизнес-центр «Omega-2», корпус C

+7 (495) 223-07-86

Общие вопросы: info@dsec.ru

Отдел продаж: sales@dsec.ru

Пресса: pr@dsec.ru