Что такое Пентест сайта?

Пентест сайта – это взлом веб площадки по соглашению с ее владельцем методами черных хакеров.

Цель такой работы – найти уязвимости площадки и проинформировать об этом заказчика.

 

Что дает Пентест сайта?

Пентест сайта имеет важное значение: по его результатам собственник веб площадки становится в курсе о всех имеющихся уязвимостях, различных степеней критичности. Все данные о найденных слабых местах и уровне их опасности отражаются в отчете исполнителя работ. В котором также прописываются рекомендации по их исправлению.

 

Оперативно выполнив советы специалиста, можно подтянуть безопасность веб площадки на должный уровень.

 

Виды Пентеста сайта?

При проведении пентеста сайта используются следующие методы:

— «Серый ящик» (Grey Box);

—  «Черный ящик» (Black Box);

— «Белый ящик» (White Box).

 

Объекты тестирования:

— Агрегатор сайтов;

— Корпоративный портал;

— Модуль портала (микросервис);

— Лэндинг с личным кабинетом;

— Web-приложение.

 

Методы Пентеста сайта?

Различают три метода пентеста сайта:

Метод «серого ящика»  («grey box») – это когда исполнителю работ предоставляется лишь часть информации, например:

— информация о ролевой модели и уровни полномочий тех или иных субъектах доступа;

— тестовые учетные записи пользователей;

— информация о используемой среде окружения (системное, общесистемное и прикладное ПО).

 

Метод «черного ящика» («blackbox») – это когда исполнителю работ дается самый минимум информации, фактически только IP-адрес и(или) адрес домена/поддомена. При использовании такого метода моделируется реальная хакерская атака, чтобы увидеть реальную защищенность веб приложения.

 

Метод «белого ящика» («white box») – это когда исполнителю работ раскрывается полностью вся информация, в том числе и доступ в личный кабинет от учетной записи администратора.

Такой метод необходим только при переходе на совершенно новый уровень (версию) веб приложения. Т.е. когда заказчик хочет увидеть все возможные уязвимости, векторы атак и проблемы текущего стека технологических платформ веб приложения, чтобы создать новую модель угроз и более совершенную версию нового веб приложения.

 

Чем отличается пентест сайта от ИТ-инфраструктуры?

Пентест сайта используется для оценки безопасности отдельно взятого веб портала, а не для серверов, с помощью которых работает вся компания.

 

Любое веб приложение, как правило включает набор модулей:

— подсистема идентификации и аутентификации (авторизации)

— личный кабинет

— панель администратора (для админских учеток)

— подсистема регистрации событий безопасности (eventlog)

 

Информационная инфраструктура, в свою очередь, представляет собой

набор серверов, необходимых для обслуживания работы организации:

— бухгалтерия, например 1C

— корпоративное облачное хранилище, например Seafile

— сервис управления задачами, например JIRA

— почтовый сервис, например Zimbra

— электронный документооборот, например DocsVision

— хранилище медиаконтента, например NextCloud

 

Вывод: при пентесте сайта специалист получает доступ к данным портала, при пентесте IT-инфраструктуры – к информационным ресурсам компании, смотрящих в Интернет.

Пентест сайта (приложения)

Под пентестом сайта (приложения) принято считать попытку атаки функционирующего веб приложения с потенциальными «дырами» — уязвимостями. Уязвимости и ошибки в конфигурации веб приложения очень привлекательны для черных хакеров, через которые они смогут проникнуть в систему и увеличить свои полномочия.

 

Пентест сайта можно разграничить по объектам тестирования:

*Облачная платформа

*Агрегатор сайтов

*Корпоративный сайт

*Лэндинг с личным кабинетом

*Веб сервис (приложение)

*Микросервис (модуль приложения)

 

При пентесте сайта не рассматривается анализ исходных кодов, так как это отдельная работа.

Анализ исходных кодов осуществляется статическими анализаторами.

Подробнее про анализ исходного кода можно найти по ссылке.

 

 

Внешний Пентест сайта?

Внешний пентест сайта проводится в основном методом черного ящика (Black Box), так как в этом и есть основная суть его проведения — независимая оценка защищенности сайта руками белого хакера.

Если предоставить белому хакеру всю информацию о среде окружения веб приложения и(или) учетные записи администратора — то это врятли можно назвать внешним пентестом (чистой независимой оценкой).

Поэтому давайте договоримся, что под термином «внешний» пентест — подразумевается независимая оценка безопасности сайта, методом черный ящик — когда белый хакер незнаек ничего об объекте оценки.

В результате будет самая полезная и честная оценка защищенности сайта, которая позволит его владельцу увидеть и устранить все критически важные уязвимости.

 

Веб Пентест

Веб пентест – это атака на определённый сайт какой-либо компании или физлица с самыми разными целями.

 

Вектора атак при пентесте сайта различны:

  • Парольные политики (кол-во попыток ввода паролей и др.)
  • Недостаточная фильтрация GET запросов
  • Csrf токен
  • SQL injection
  • Изучение  наличия проверок форм ввода данных (обрезание некорректных данных)
  • Возможность захвата клика
  • Поиск устаревших версий ПО со слабыми местами
  • Поиск уязвимостей SSL сертификата
  • и др.

 

Итог пентеста сайта: можно «задефейсить» сайт, а также, применяя адресную строку браузера сломать веб-сервер и проникнуть дальше в систему для увеличения возможностей и кражи баз данных и прочей привлекательной для хакера  информации.

 

Внешний пентест сайт

 

Внешний пентест сайта своим клиентам готовы предложить компании, оказывающие услуги по поиску и изучению уязвимостей информационных систем.

 

Важное условие: наличие лицензии ФСТЭК на техническую защиту конфиденциальной информации. А еще компания должна иметь в штате профессиональных этичных хакеров с богатым опытом работы.

 

Внешний пентест сайта используется для объектов тестирования, «смотрящих» в Интернет: для IP адресов и доменов / поддоменов с выходом в сеть.

 

Выполняя внешний пентест сайта, белый хакер имитирует попытки атаки, как настоящий хакер.

 

Внутренний пентест сайта

Внутренний пентест сайта — это пентест внутренних веб приложений, расположенных внутри ИТ-инфраструктуры.

Сюда относят разные серверы, службы и сервисы:

  • IP-телефония
  • Сервер 1С Предприятия
  • Файловое хранилище
  • Видеонаблюдение
  • СКУД
  • Система электронного документооборота
  • Система управления проектами (ERP)
  • Система управления клиентами (CRM)
  • Система бизнес аналитики (BPM)

 

Также в организации могут быть иные внутренние корпоративные порталы с чуствительной информацией.
Поэтому крайне важно их также проверять на отсутствие уязвимостей и/или корректные настройки.

Что уж говорить про внутренние корпоративные порталы «смотрящие» в Интернет.

Для них пентест сайта — крайне необходим.

 

Пентест сайта

Пентест сайта представляет собой атаку на веб-приложение целиком или конкретный его модуль для нахождения пробелов, слабых мест, которые позволят реализовать вектора атаки, расширить полномочия и дотянуться до чувствительной информации.

 

Обратившись за услугой к исполнителю работ по пентесту, заказчик получит подробный отчет со всеми найденными уязвимостями и предложениями по их устранению.

 

Пентест сайта важно заказывать у лицензиатов ФСТЭК России. Официально — это лицензируемый вид работ.

 

Кто имеет право проводить пентест сайта?

Допуск к проведению пентеста сайта имеет лицензиат ФСТЭК России на техническую защиту конфиденциальной информации с пунктами «б» и «е» в лицензии:

 

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).

 

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

 

Данные пункты для проведения пентеста сайта обязательны.

 

Все требования к лицензиатам ФСТЭК регламентирует постановление Правительства №79 «О лицензировании деятельности по технической защите конфиденциальной информации».

 

Как проводится пентест сайта?

 

В основе проверки безопасности портала лежит международная методология OWASP по тестированию защищенности веб-приложений:

 

The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project (OWASP)

 

При проверке безопасности учитываются используемые порталом технологии и компоненты, включая server-side уязвимости и атаки и client-side:

«Content Spoofing»;

«Credential/Session Prediction»;

«Abuse of Functionality»;

«Brute Force»;

«Directory Indexing»;

«JSONP»

«Cross-Site Scripting»;

«Cross-Site WebSocket Hijacking (CSWSH)»

«HTTP Response Smuggling»;

«HTTP Response Splitting»;

«HTTP Request Smuggling»;

«Cross-Site Request Forgery»;

«HTTP Request Splitting»;

«LDAP Injection»;

«Null Byte Injection»;

«OS Commanding»;

«Path Traversal»;

«Predictable Resource Location»;

«Remote File Inclusion» (RFI)

 «Routing Detour»;

«Session Fixation»;

«XQuery Injection»

«XML Attribute Blowup»;

«XML External Entities»;

«XML Entity Expansion»;

«XML Injection»;

«SOAP Array Abuse»;

«SSI Injection»;

«SQL Injection»;

«URL Redirector Abuse»;

«XPath Injection»;

 

 

Программы для пентеста сайта?

 

У каждого специалиста свои инструменты, так и белый хакер использует нужные ему программы.

Вот пример такого набора:

Scrawlr

w3af

HP WebInspect Real-Time

Xspider 7.8

Acunetix WVS

Burpsuite

Kali linux

Wapiti

skipfish

WebScarab

 

Услуги пентеста сайта?

 

Пентест сайт, как уже было сказано, по закону может предлагать клиентам лишь лицензиат ФСТЭК России — Федеральной службы по техническому и экспортному контролю России.

 

На цену и сроки проведения услуги влияет объем оценки и метод пентеста сайта (серый, черный или белый ящик).

 

Полный перечень необходимых лицензий есть в арсенале у компании ООО «ЦБИС», ознакомиться с ними можно по ссылке.

 

Нашу компанию выгодно отличает богатый опыт работы в сфере пентеста, за услугами к нам обращаются крупные компании России:

ПАО «ИнтерРАО»

ООО «МЕДИЦИНАОБОМНЕ»

АНО РСВ

ИСКРА

ООО «МЭЙЛ.РУ»

ЦИФРОВОЙ ПРОРЫВ

КЛУБ ЭЛЬБРУС

ДРУГОЕ ДЕЛО

НАЧНИ ИГРУ

КУЛЬТУРНАЯ ИНИЦИАТИВА

УПРАВЛЯЙ

МОЯ СТРАНА – МОЯ РОССИЯ ЛИДЕРЫ РОССИИ

ЛИДЕРЫ МЕНЯЮТ МИР

БОЛЬШЕ ЧЕМ ПУТЕШЕСТВИЕ

ТВОЙ ХОД

МУРАВЬЕВ-АМУРСКИЙ

CASE-IN

МЕЧТАЙ СО МНОЙ

JUNIOR

МАЙНД-КРАФТ

Отзывы о работе наших сотрудников мы собрали здесь.

 

Стоимость пентеста сайта?

 

Цена на проведение пентеста сайта стартует от 150 тысяч рублей, верхняя планка практически не ограничена.

Итоговая стоимость зависит от разных критериев:

 

  • метод тестирования (черный, белый, серый ящик)
  • ограничения и предпочтения по тестируемым технологиям/векторам атак
  • наличие смежных анализов (аудит исходного кода и др.)
  • число объектов для анализа и сопряженных с ними объектов (домены/поддомены, IP-адреса и др.)
  • потребность в выезде на территорию клиента, отдаленность территории
  • и др.

 

 

Услуги пентеста сайта

 

Услуги пентеста сайта проводят  лицензиаты ФСТЭК России, в штате которых трудятся опытные специалисты. Согласно постановлению Правительства №79, услуги по контролю защищенности информации относятся к лицензируемому виду деятельности.

 

К сотрудникам таких компаний предъявляются следующие требования:

— высшее образование или переподготовка по информационной безопасности;

— стаж работы по профессии от 3-х лет;

— опыт хакерского взлома.

 

При таком подходе собственник информационной системы получит качественно выполненную работу и отчет с подробными рекомендациями по всем обнаруженным уязвимостям.

 

По приказу ФСТЭК № 21 оценка эффективности реализованных мер для информационных систем должна проводиться не менее одного раза в три года.

 

Оценить уязвимость системы поможет пентест сайт, услуга эта законом не запрещена.

 

 

 

Этапы пентеста сайта

 

Рассмотрим этапы проведения пентеста сайта.

 

  1. Сбор информации о доменах, поддоменах и серверах:

 

1) Различные Search Engine

 

2) Различные DNS сервера

 

3) Брутфорс DNS

 

4) Утечки полезной информации со стороны серверов

 

5) Утечки полезной информации на найденных приложениях серверов

 

6) Тестирование запущенных сервисов на серверах

 

7) При отсутствии возможности  анализа в связи использования фаервола попытки обхода межсетевого экрана

 

  1. Стадия тестирования:

 

1) Positive testing (сбор дополнительной информации о продукте исследования)

 

2) Извлечении доступной инфраструктуры, используя всевозможные

задокументированные в RFC методы

 

3) Фаззинг и изучение имплементации приложений доступных через доступные сервера

 

4) Penetration testing (тестирование на проникновение в систему)

 

5) Тестирование серверов

 

6) Тестирование приложений на серверах

 

7) Реализация необходимых действий согласно внутреннему конфиденциальному протоколу

 

8) Stress testing

 

9) Стресс-Тестирование серверов

 

10) Стресс-Тестирование приложений расположенных на серверах

 

  1. Стадия разработки отчёта:

 

1) Повторное тестирование в случае угрозы

 

2) Расчет уровня риска угрозы с помощью калькулятора CVSS

 

3) Классификация и систематизация угроз в рамках отчета

 

4) Детальное описание угроз

 

5) Вставка скриншотов, POC (Proof Of Concept) и дополнительной информации по требованию

 

6) Составление предложений по ликвидации и совершенствованию безопасности системы

 

  1. Стадия перепроверки/дополнительное тестирование:

 

1) Перепроверка и повторный поиск слабых мест белыми хакерами

 

2) Дополнение отчёта в случае обнаружения новых уязвимостей

 

3) Проверка отчета на ошибки

 

4) Оформление и преобразование отчёта в формат PDF

 

5) Пересылка отчёта клиенту

 

Такой план тестирования используется по усмотрению исполнителя работ по белому тесту на проникновение, все зависит от объекта тестирования и используемых методик.

 

 

Отчет по результатам пентеста сайта?

 

Отчет, предоставляемый по итогам проведения пентеста сайта, имеет такую структуру:

 

  1. Общие сведения

1.1      Основание и сроки проведения работ

1.2      Цель  проведения работ

1.3      Задачи проведения работ

1.4      Состав работ

1.5      Описание области работ и объектов тестирования

1.6      Модели «злого» хакера

1.7      Условия проведения тестирования

  1. Описание результатов

2.1      Сводный отчет по выявленным уязвимостям и степени их критичности

  1. Детальное описание тестирования и предложения по ликвидации уязвимостей
  2. Заключение и выводы

 

Визуально выглядит отчет так:

пентест сайта

 

 

 

 

Заказать пентест сайта?

 

На ценообразование влияет объект пентеста и методы тестирования, поэтому стоимость может различаться.

 

Чаще всего заказывают внешний пентест сайта методом «черный ящик».

Такая услуга проводится дистанционно, график этичный хакер выбирает сам.

Итогом пентеста сайта выступает отчет, с помощью которого заказчик получает полную картину уровня безопасности сайта.

Если нужны пояснения по каждому обнаруженному слабому месту системы, то они предоставляются.

Чтобы оценить стоимость пентеста вашего сайта, оставьте заяву в форме справа или позвоните по номеру телефона: 8(800)550-44-71

ООО ЦБИС отличает на рынке услуг богатый опыт проведения пентеста, что подтверждается благодарственными отзывами клиентов.

 

В штате компании трудятся профессиональные специалисты с опытом работы в сфере хакинга информационных сетей и кибератак. К тому же компания имеет полный набор всех необходимых лицензий.

 

 

Обращайтесь!

 

 

Для оценки точной стоимости тестирования на проникновение можно поинтересоваться по телефону
ЗАКАЗАТЬ ЗВОНОК