Аудит безопасности сайта

Аудит безопасности сайта — является самым мощным инструментом для обеспечения информационной безопасности ресурса. Аудит сайта на наличие уязвимостей — это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт.

Главная цель аудита безопасности сайта — обеспечение информационной безопасности исследуемого сайта и заблаговременное обнаружение всех уязвимостей сайта, для предупреждения и предотвращения взлома и хакерских атак.

Основные работы, включенные в комплексный аудит безопасности сайта

• Исследование безопасности сайта в рабочем режиме

Исследование проводится по активному сайту, работающего в Сети Интернет, и позволяет максимально полно оценить уровень безопасности ресурса. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс. Способы обнаружения уязвимостей при тестировании сайта в «рабочем режиме», полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.

• Частичное исследование кода тестируемого сайта

Исследование частей кода сайта является необходимым условием для проведения комплексного аудита безопасности, в тех случаях, когда тестирование в «рабочем режиме» не может дать однозначного ответа на наличие уязвимости в определенном скрипте/модуле/разделе и т.п. сайта. В качестве примера можно привести признаки наличия уязвимости, в определенном скрипте сайта, возможность эксплуатации которой ставиться под сомнение. В таком случае исследуется «проблемная» часть кода скрипта для точного определения наличия или отсутствия угрозы.

• Исследование безопасности сторонних компонентов сайта

Большинство сайтов используют в своей работе компоненты сторонних разработчиков. Проблемы безопасности этих компонентов могут стать критичными для всего ресурса сайта в целом. Исследование безопасности таких компонентов является неотъемлемой частью комплексного аудита безопасности сайта.

• Исследование безопасности системы управления сайтом

Проверка системы управления сайтом CMS, Framework и т.п. на наличие готовых решений, эксплуатирующих те или иные уязвимости, в случае их существования.

• Исследование безопасности публикации сайта

Проверка корректной публикации сайта. Нередко в открытом доступе оказываются файлы резервного копирования, системные, тестовые и прочие файлы, содержащие конфиденциальную информацию. Открытый доступ к таким файлам напрямую угрожает безопасности сайта.

• Исследование безопасности программного обеспечения и настроек сервера

Проверка корректной настройки серверного программного обеспечения. Исследование доступности серверного программного обеспечения к публичным методам и способам взлома и атак. Исследование безопасности портов сервера. Прочие исследования безопасности сервера.

Этапы выполнения работ

• На первом этапе работ выполняется поиск и устранение вредоносного кода сайте. (при необходимости)
• На втором этапе работ проводится аудит безопасности сайта в «рабочем режиме».
• На третьем этапе работ проводится частичное или полное исследование кода тестируемого сайта.
• На четвертом этапе работ проводится аудит безопасности сторонних компонентов сайта, проверяется система управления сайтом CMS, Framework и т.п. на наличие готовых решений, эксплуатирующих те или иные уязвимости, в случае их существования.
• На пятом этапе работ исследуется безопасность серверного программного обеспечения.
• На шестом этапе работ составляется отчет по результату аудита информационной безопасности сайта, осуществляет согласование предложений по устранению уязвимостей. В случае необходимости, согласовываются планы мероприятий последующих этапов сотрудничества.
• На седьмом этапе работ устраняются все обнаруженные уязвимости, устанавливается защита на сайт.

Итоговый отчет по результатам аудита безопасности сайта

По итогам аудита безопасности сайта, предоставляется отчет, в котором дается точная оценка безопасности тестируемого сайта, соответствующая уровню угроз найденных уязвимостей. Отчет содержит максимально полную информацию о всех найденных уязвимостях сайта, программного обеспечения сервера, обнаруженных сбоях работы скриптов, общих ошибках сайта и т.п., с конкретными рекомендациями по их устранению.