Что такое Пентест сайта?
Пентест сайта – это взлом веб площадки по соглашению с ее владельцем методами черных хакеров.
Цель такой работы – найти уязвимости площадки и проинформировать об этом заказчика.
Что дает Пентест сайта?
Пентест сайта имеет важное значение: по его результатам собственник веб площадки становится в курсе о всех имеющихся уязвимостях, различных степеней критичности. Все данные о найденных слабых местах и уровне их опасности отражаются в отчете исполнителя работ. В котором также прописываются рекомендации по их исправлению.
Оперативно выполнив советы специалиста, можно подтянуть безопасность веб площадки на должный уровень.
Виды Пентеста сайта?
При проведении пентеста сайта используются следующие методы:
— «Серый ящик» (Grey Box);
— «Черный ящик» (Black Box);
— «Белый ящик» (White Box).
Объекты тестирования:
— Агрегатор сайтов;
— Корпоративный портал;
— Модуль портала (микросервис);
— Лэндинг с личным кабинетом;
— Web-приложение.
Методы Пентеста сайта?
Различают три метода пентеста сайта:
Метод «серого ящика» («grey box») – это когда исполнителю работ предоставляется лишь часть информации, например:
— информация о ролевой модели и уровни полномочий тех или иных субъектах доступа;
— тестовые учетные записи пользователей;
— информация о используемой среде окружения (системное, общесистемное и прикладное ПО).
Метод «черного ящика» («blackbox») – это когда исполнителю работ дается самый минимум информации, фактически только IP-адрес и(или) адрес домена/поддомена. При использовании такого метода моделируется реальная хакерская атака, чтобы увидеть реальную защищенность веб приложения.
Метод «белого ящика» («white box») – это когда исполнителю работ раскрывается полностью вся информация, в том числе и доступ в личный кабинет от учетной записи администратора.
Такой метод необходим только при переходе на совершенно новый уровень (версию) веб приложения. Т.е. когда заказчик хочет увидеть все возможные уязвимости, векторы атак и проблемы текущего стека технологических платформ веб приложения, чтобы создать новую модель угроз и более совершенную версию нового веб приложения.
Чем отличается пентест сайта от ИТ-инфраструктуры?
Пентест сайта используется для оценки безопасности отдельно взятого веб портала, а не для серверов, с помощью которых работает вся компания.
Любое веб приложение, как правило включает набор модулей:
— подсистема идентификации и аутентификации (авторизации)
— личный кабинет
— панель администратора (для админских учеток)
— подсистема регистрации событий безопасности (eventlog)
Информационная инфраструктура, в свою очередь, представляет собой
набор серверов, необходимых для обслуживания работы организации:
— бухгалтерия, например 1C
— корпоративное облачное хранилище, например Seafile
— сервис управления задачами, например JIRA
— почтовый сервис, например Zimbra
— электронный документооборот, например DocsVision
— хранилище медиаконтента, например NextCloud
Вывод: при пентесте сайта специалист получает доступ к данным портала, при пентесте IT-инфраструктуры – к информационным ресурсам компании, смотрящих в Интернет.
Пентест сайта (приложения)
Под пентестом сайта (приложения) принято считать попытку атаки функционирующего веб приложения с потенциальными «дырами» — уязвимостями. Уязвимости и ошибки в конфигурации веб приложения очень привлекательны для черных хакеров, через которые они смогут проникнуть в систему и увеличить свои полномочия.
Пентест сайта можно разграничить по объектам тестирования:
*Облачная платформа
*Агрегатор сайтов
*Корпоративный сайт
*Лэндинг с личным кабинетом
*Веб сервис (приложение)
*Микросервис (модуль приложения)
При пентесте сайта не рассматривается анализ исходных кодов, так как это отдельная работа.
Анализ исходных кодов осуществляется статическими анализаторами.
Подробнее про анализ исходного кода можно найти по ссылке.
Внешний Пентест сайта?
Внешний пентест сайта проводится в основном методом черного ящика (Black Box), так как в этом и есть основная суть его проведения — независимая оценка защищенности сайта руками белого хакера.
Если предоставить белому хакеру всю информацию о среде окружения веб приложения и(или) учетные записи администратора — то это врятли можно назвать внешним пентестом.
Поэтому давайте договоримся, что под термином «внешний» пентест — подразумевается независимая оценка безопасности сайта, методом черный ящик — когда белый хакер незнаек ничего об объекте оценки.
В результате будет самая полезная и честная оценка защищенности сайта, которая позволит его владельцу увидеть и устранить все критически важные уязвимости.
