| Наименование | 
Black Box заказать
|
Custom Box заказать
|
White Box заказать
|
|
120 000 ₽
|
180 000 ₽
|
680 000 ₽
|
|
| Исследование, работы только по аудиту ИБ | |||
| Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг |  |
|
|
| Исследование безопасности ОС и ПО сервера на уровне черного ящика | 10 000 ₽ Добавить | 10 000 ₽ Добавить | |
| Полноценное исследование безопасности сервера, его ОС и ПО. | 75 000 ₽ Добавить | ||
| Поиск проблем безопасности кода сайта методом «черного ящика» | 80 000 ₽ Добавить | 80 000 ₽ Добавить | 80 000 ₽ Добавить |
| Частичное исследование безопасности кода сайта | 30 000 ₽ Добавить | ||
| Полное исследование безопасности абсолютного кода сайта | 400 000 ₽ Добавить | ||
| Исследование безопасности сторонних компонентов кода сайта | 10 000 ₽ Добавить | 10 000 ₽ Добавить | |
| Исследование безопасности (корректности) публикации сайта | 10 000 ₽ Добавить | 10 000 ₽ Добавить | |
| Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг | |
|
|
| Работы по устранению угроз ИБ сайта (дополнительные услуги) | |||
| Устранение проблем / угроз безопасности сервера (ОС / ПО) | 10 000 ₽ Добавить | |
|
| Устранение проблем / угроз безопасности кода (устранение уязвимостей) | 10 000 ₽ Добавить | |
|
| Устранение проблем / угроз безопасности, связанных с ошибками публикации сайта | 750 000 ₽ Добавить | |
|
| Перепроверка устранения уязвимостей по итоговому отчету | 10 000 ₽ Добавить | |
|
|
Итого
* Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT»
** Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT+ADMIN».
|
Black Box
120 000 ₽ заказать
|
Custom Box
180 000 ₽ заказать
|
White Box
680 000 ₽ заказать
|
Исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс… Исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс… Исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс…
Уровень угроз обнаруженных угроз безопасности определяется в соответствии с классификациями OWASP Top Ten Project 2017 RCиCWE/SANS Top 25 Most Dangerous Software Errors
Для сайтов, работающих под управлением CMS «1С-Битрикс», нами разработан собственный классификатор TOP12 угроз, который также может быть отражен в итоговом отчете по результатам сайта.
| Уязвимость / Атака / Техника взлома | Уровень угрозы | Баллы |
| Authentication Bypass
Обход аутентификации, несанкционированный доступ
|
Критический
|
10 |
| SQL инъекции всех типов
Внедрение произвольного кода в SQL запрос
|
Критический
|
10 |
| PHP инъекции
Инъекция в PHP код сайта
|
Критический
|
10 |
| Выполнение удалённого кода на сервере «черного ящика»
Внедрение произвольного кода в SQL запрос
|
Критический
|
10 |
| RFI - Remote File Include
Включение удаленного файла в код сайта
|
Критический
|
10 |
| LFI - Local File Include
Подключение чтение локального файла на сервере
|
Критический
|
10 |
| Хранимые XSS атаки
Межсайтовый скриптинг
|
Критический
|
10 |
| Отраженные XSS атаки
Межсайтовый скриптинг
|
Высокий
|
10 |
| СSRF атаки
межсайтовая подделка запроса
|
Высокий
|
10 |
| Уязвимость / Атака / Техника взлома | Уровень угрозы | Баллы |
| Authentication Bypass |
Критический
|
10 |
| SQL инъекции всех типов |
Критический
|
10 |
| PHP инъекции |
Критический
|
10 |
В рамках проведения исследований, не ставиться задача по обходу или нейтрализации модуля «Проактивная защита» 1С-Битрикс, равно как и иных способов защиты сайта.
Методы обнаружения уязвимостей в рамках исследований, предлагаемых в тарифных планах «Black Box» и «Custom Box» полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.
Исследование проводится по активному сайту, работающему в Сети Интернет, либо по предложенной dev версии сайта, что позволяет максимально полно оценить уровень безопасности ресурса.
Методы обнаружения уязвимостей в рамках исследований, предлагаемых в тарифных планах «Black Box» и «Custom Box» полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.
Исследование проводится по активному сайту, работающему в Сети Интернет, либо по предложенной dev версии сайта, что позволяет максимально полно оценить уровень безопасности ресурса.
Все обнаруженные уязвимости сайта подтверждаются фактом обнаружения, с примерами эксплуатации, без деструктивных последствий для работы сайта.
В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.
Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками.
В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.
Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками.
В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.
Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками.
Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах
