Основная цель услуги

Основной целью услуги является выявление программных и технических уязвимостей веб-ресурсов, оценка рисков, которые могут возникнуть в результате их эксплуатации, а также разработка практических рекомендаций по устранению выявленных недостатков.

В ходе проверки анализируются программное обеспечение веб-сайта, настройки сервера, система управления контентом, используемые плагины и модули, механизмы аутентификации, процессы обработки данных, а также устойчивость веб-ресурса к внешним атакам.

Направления проверки

• Наличие вредоносного программного кода на веб-сайте
• Несанкционированное изменение файлов веб-сайта
• Наличие web-shell, backdoor и скрытых скриптов
• Устаревшие или уязвимые CMS, плагины и модули
• Уязвимости SQL Injection
• Уязвимости Cross-Site Scripting — XSS
• Уязвимости Cross-Site Request Forgery — CSRF
• Уязвимости Local File Inclusion и Remote File Inclusion
• Уязвимости, позволяющие удаленно выполнять программный код
• Недостатки безопасности функции загрузки файлов
• Уязвимости механизмов аутентификации и авторизации
• Недостатки управления пользовательскими сессиями
• Раскрытие конфиденциальной информации
• Некорректные настройки сервера и веб-приложения
• Проблемы с SSL/TLS-сертификатом и настройками HTTPS
• Отсутствие или некорректная настройка HTTP-заголовков безопасности

Процесс проверки

Ручная проверка критически важных функций

Наряду с автоматизированным сканированием вручную проверяются критически важные функции веб-сайта. В частности, изучается безопасность регистрации пользователей, входа в систему, восстановления пароля, загрузки файлов, поиска, форм ввода данных, панели администратора и других интерактивных разделов.