Аудит информационной безопасности сайта.



Таблица сравнения тарифных планов



** Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT+ADMIN».
Описание тарифных планов


По окончанию работ, входящих в тариф «Custom Box», предоставляется бесплатная подписка на услуги ситуационного центра ИБ, в соответствии с тарифом «SOC» сроком на 3 месяца

Наши кейсы
Исследуемые угрозы безопасности
- RCE - Remote code execution (выполнение кода на серверной стороне).
- SQL инъекции (несанкционированный доступ к БД сайта).
- Authentication and Session Management Bypass (Обход авторизации учетных записей).
- PHP инъекции (несанкционированное внедрение кода в серверный скрипт).
- CRLF выполнение несанкционированных команд в системе, атака в заголовки (header).
- Инъекции в LDAP (изменение LDAP операторов).
- Remote File Include (RFI) (удаленное включение файла).
- Local File Include (LFI) (локальное включение файла).
- Directory traversal attack (траверс директорий ФС сервера).
- SSRF (межсерверная подделка запросов).
- XSS (межсайтовый скриптинг, атака на клиента).
- CSRF (подделка межсайтовых запросов, атака на клиента).
- File Upload - возможность загрузки произвольных файлов на сервер.
- Комбинированные техники и методы взлома и атак.
- Нестандартные техники и методы взлома и атак.
- Ошибки выполнения скриптов, публикация системных ошибок.
- Исследование сайтов на уязвимости, не способные прямо привести к взлому сайта, но позволяющие злоумышленникам использовать сайт и его ресурсы в собственных целях, таких как рассылка спама, размещение «черных» SEO элементов и т.п.
Чёрный ящик: исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс. Исследование проводится в ручном режиме с использованием специального ПО.
Включенные работы:
- Поиск угроз безопасности сайта методом черного ящика.
- Поиск угроз безопасности, характерных для сайтов на CMS 1C-Bitrix.
- Определение уровня угрозы обнаруженных проблем ИБ (OWASP).
- Обнаруженные угрозы подтверждаются безопасным POC.
- Исследование безопасности ОС и ПО сервера на уровне черного ящика.
Стоимость аудита безопасности сайта по тарифу «Black Box»:
Классификация угроз безопасности для всех тарифных планов
Уровень угроз обнаруженных угроз безопасности определяется в соответствии с классификациями OWASP Top Ten Project 2017 RC и CWE/SANS Top 25 Most Dangerous Software Errors.
Методы обнаружения угроз безопасности (уязвимостей)





В рамках проведения исследований, включенных во все тарифы на Аудит безопасности сайта, не ставиться задача по обходу или нейтрализации модуля «Проактивная защита» 1С-Битрикс, равно как и иных способов защиты сайта.
Подтверждение эксплуатационных качеств обнаруженных угроз
- Любые инъекции (SQL, XPath) или инклуды (RFI, LFI) подтверждаются фактомналичия, с практической безопасной эксплуатации уязвимости.
- Инъекции в БД подтверждаются фактом получения имени БД, имена таблиц, чтение выборочных данных из БД. Инклуды (RFI, LFI) подтверждаются операциями с файлами, в зависимости от типа угрозы.
- Уязвимости типа RCE - Remote code execution (удаленное выполнение кода на сервере) подтверждаются PHP кодом <? phpinfo(); ?> , либо любым другимбезвредным кодом.
- Уязвимости типа XSS - Сross Site Sсriрting (межсайтовый скриптинг) подтверждаются JS кодом <script>alert(‘XSS’);</script> , либо любым другим безвредным кодом, без эксплуатации атаки.
- Уязвимости типа CSRF - Сross Site Request Forgery (межсайтовая подделка запроса) подтверждаются фактическими признаками наличия уязвимости, без практической эксплуатации атаки. В случаях, когда угроза CSRF является критической для ИБ сайта, атака подтверждается выполнением безопасного эксплуатационного скрипта.
Подтверждение эксплуатационных качеств обнаруженных угроз

Скачать
Дополнительно
В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.
Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками. Главные цели, которые преследует заказчик услуги:
В августе 2017 года, мы сопровождали интернет – проект, разработкой которого занималось одна крупная московская рекламная группа. Покупателем была компания KPMG, один из лидеров аудиторских компаний «Большой четвёрки», располагающим собственной службой ИТ безопасности:
https://home.kpmg.com/ru/ru/home/services/advisory/risk-consulting/information-protection-and- cybersecurity.html
Главная цель

Мы успешно справились с поставленной задачей в крайне ограниченные сроки. «Обезличенный» вариант – такого отчета прилагаю файлом Результат_тестирования.docx. Скачать (Проект работал не на CMS 1С-Битрикс, там вообще вся разработка, от сервера до кода, на продуктах Microsoft производилась.)

На сегодняшний день мы участвуем в подобном проекте, где в роли покупателя сайта – инфосистемы является государственная компания ПАО «МОЭК». Проект работает на CMS 1С-Битрикс.