Анализ защищенности приложений

Компания Shtein Solutions предоставляет услуги по техническим тестам на проникновение. Наш опыт - 13 лет, говорит за себя.

Всем известно, что все приложения уязвимы — вопрос только в том, насколько опасны эти уязвимости для вашей компании. Мы выявим слабые места в мобильных и веб-приложений, в системах дистанционного обслуживания и разработаем рекомендации по устранению обнаруженных уязвимостей.

Для анализа защищенности приложений, мы используем современные стандартыи практики:

• OWASP TOP 10
• OWASP Top 10 API Security Risks
• OWASP Web Security Testing Guide (WSTG)
• OWASP Mobile Application Security Testing Guide (MASTG)
• NIST SP 800-115
• PCI Penetration Testing Guidance

В общем случае порядок проведения работ следующий:

• Получение предварительной информации о аппликации заказчика. Используются те же источники информации, которые доступны злоумышленникам (Интернет, новости, конференции).
• Анализ веб-приложений заказчика. С помощью автоматизированных утилит и ручными методами детектируются следующие уязвимости:
  • SQL Injection
  • Cross-Site Scripting
  • Content Spoofing
  • OS Commanding
  • vulnerabilities associated with incorrect configuration authentication and authorization mechanisms
  • и прочие
• Эксплуатации уязвимостей. Методы и инструментарий выбираются индивидуально для каждого типа уязвимости. Используются как общедоступные утилиты, так и инструментарий собственной разработки.

Результатом работы будет являться отчет, содержащий:

• Методику проведения теста.
• Выводы для руководства, содержащие общую оценку уровня защищенности.
• Описание выявленных недостатков.
• Рекомендации по устранению выявленных уязвимостей.

Логическим продолжением теста на проникновение могут являться работы:

• Проектирование и внедрение систем защиты
• Проектирование и внедрение системы управления уровнем защищенности
• Мониторинг защищенности периметра корпоративной сети