Когда необходимо проводить аудит web-безопасности?
Чаще всего, компании проводят аудит web-безопасности в следующих случаях:
- При разработке нового web-приложения, чтобы убедиться в его безопасности;
- После того, как произошёл взлом существующего web-приложения;
- Прохождение аудита web-безопасности является одним из условий работы с клиентом или партнёром.
Как мы проводим аудит web-безопасности?
Аудит Web-безопасности – это подвид тестирования на проникновение (пентеста), который проводится в некоторых проектах. Поэтому аудит web-безопасности мы проводим также, как и стандартное тестирование на проникновение, то есть, используем методики White, Black и Gray box.
В случаях, когда требуется дополнительное тестирование, мы проводим анализ кода web-приложения, используя для этого статический и динамический методы.
Этапы аудита web-безопасности
Мы проводим аудит web-безопасности используя следующие этапы:
- Сбор информации. На этом этапе мы собираем информацию о приложении, его функциональности и архитектуре. Для этого мы используем сканирование портов, анализ HTTP-запросов и ответов, поиск скрытых файлов и директорий, анализ параметров запросов и т.д.
- Определение уязвимостей. Далее мы определяем возможные уязвимости, которые могут быть использованы для взлома web-приложения. Среди уязвимостей мы выделяем такие как SQL-инъекции, XSS-атаки, CSRF-атаки и другие.
- Анализ рисков. После выявления уязвимостей мы определяем риски, которые могут быть связаны с найденными уявзимостями. Среди рисков мы выделяем следующие – остановку работы приложения, утечка конфиденциальных данных.
- Анализ результатов. Следующим этапом мы анализируем полученные результаты и приоритизируем найденные риски, согласно 3 категориям: критические, средние, низкие.
- Разработка рекомендаций по устранению уязвимостей. После этого, мы даём необходимые рекомендации по управлению этими рисками: рассказываем как их минимизировать, передать, отказаться или принять в тех процессах или ситуациях, когда это возможно.
- Подготовка итогового отчета. В конце проекта мы предоставляем отчет о результатах аудита, в котором содержатся результаты анализа, рекомендации по устранению уязвимостей и другая информация, которая может быть полезна для улучшения безопасности web-приложения.
Длительность аудита web-безопасности
Длительность аудита web-безопасности зависит от сложности проекта. Как правило, сроки варьируются от 2 до 4 недель.
Результаты аудита web-безопасности
Результатом аудита web-безопасности станет:
- Определение текущего уровня защищенности web-приложения;
- Нахождение уязвимостей web-приложения;
- Определение потенциальных угроз;
- Определение последствий взлома;
- Создание рекомендаций и итогового отчёта.
Компания «Pointlane» предлагает следующие виды услуг: