Мы ведем поиск по разделам и новостям, если вы не нашли ответ на свой вопрос, пожалуйста, воспользуйтесь формой
«связаться с экспертом»
Веб-приложения
У подавляющего большинства веб-приложений есть уязвимости и недостатки безопасности, которые могут быть использованы злоумышленниками. Они ставят под угрозу конфиденциальность, целостность и доступность данных и могут стать причиной нелегитимных действий в системе.
Аудит безопасности веб-приложений и сайтов выявит уязвимости и ошибки конфигурации и поможет вам обеспечить защиту конфиденциальной информации (персональные и платежные данные, коммерческая информация), а также предотвратить DoS-атаки и нелегитимный доступ к аккаунтам и корпоративным ресурсам.
Как будем действовать
Анализ защищенности веб-приложений включает в себя исследование клиентской (front-end) и серверной (back-end) частей приложения, а также среды передачи данных. В рамках аудита мы проверяем корректность обработки входных данных, настройки механизмов аутентификации и разграничения прав доступа и находим уязвимости, которыми может воспользоваться злоумышленник.
Мы также анализируем бизнес-логику веб-приложения и оцениваем эффективность используемых средств защиты. Для более полного и глубокого исследования защищенности приложения мы рекомендуем провести аудит исходного кода.
и его бизнес-логика
между клиентом
и веб-приложением
разграничения
прав доступа
Тестирование Digital Security включает специфические проверки, ориентированные на конкретные
технологии, которые используются в вашей системе. Оно поможет выявить ошибки конфигурации и
уязвимости веб-приложений, чтобы предотвратить действия злоумышленников
Мы ответили на популярные вопросы, которые нам задают об услуге
«Веб-приложения».
Возможно, эта информация будет вам полезна.
Какой тип тестирования предпочтительнее для анализа веб-приложения: White Box, Grey Box или Black Box?
Мы работаем по любой выбранной вами модели нарушителя: White Box, Grey Box или Black Box. Однако чаще всего наши клиенты выбирают именно Grey Box тестирование, оно является золотой серединой и позволяет проработать наиболее вероятные модели угроз.
Веб-сайт сегодня – один из основных инструментов коммуникации с клиентом, несут ли формы обратной связи и чат-боты угрозу безопасности?
Чат-боты действительно создают внушительную поверхность для атаки. Подобных решений сегодня очень много, к сожалению, среди них мало безопасных. Это касается не только чат-ботов, но и различных сторонних сервисов (например, для трекинга), которые вы устанавливаете на сайт. Формы обратной связи, являющиеся частью «экосистемы» вашего сайта, не несут подобных угроз, если плагины, с помощью которых они реализованы, актуальны.
Мы размещаем свои сервисы в облаках, насколько это повышает/понижает уровень безопасности?
Крупные облачные провайдеры уделяют внимание вопросам ИБ, проводят собственные исследования и bug bounty программы, выбирают прогрессивные защитные решения. Однако считать облака безопасной средой по умолчанию неверно. Провайдер не убережет вас от банальных ошибок администрирования и неправильной конфигурации сервисов, утечек ключей доступа и учетных данных. Поэтому ваши веб-приложения, размещенные в облачной инфраструктуре, требуют анализа защищенности точно так же, как и обычные веб-приложения.
Специалисты по информационной безопасности компании Digital Security протестировали парольные политики 157 веб-сервисов, включая социальные сети, почтовые клиенты, облачные хранилища и интернет-банкинг. Эксперты выяснили, какие сайты предъявляют самые строгие правила к созданию паролей, а, соответственно, являются потенциально безопаснее, какие рекомендации по защите аккаунтов даются пользователям и при использовании каких сайтов пользователь скорее всего станет жертвой злоумышленника. […]
В США не утихают дискуссии вокруг скандала с Cambridge Analytica, которая собирала информацию о пользователях Facebook и подозревается в манипулировании политическими взглядами граждан. В Европе, чтобы защитить граждан от подобных случаев, ввели новые требования GDPR (General Data Protection Regulation), которые распространяются и на российские компании. Андрей Гайко комментирует для Коммерсанта нашумевшую в прошлом историю с […]
Публикуем работу на тему распознавания доменов, сгенерированных при помощи алгоритмов генерации доменных имен. В исследовании рассматриваются уже существующие методы, а также предложен свой, на основе рекуррентных нейронных сетей. Алгоритмы Генерации Доменных Имен (DGA) представляют собой алгоритмы, используемые вредоносным программным обеспечением (malware) для генерации большого количества псевдослучайных доменных имен, которые позволят установить соединение с управляющим командным […]
Заполните форму, и мы ответим на все ваши вопросы
