Веб пентест — от 150 000,00 руб.
Что такое веб пентест?
Веб пентест – это легальная попытка взлома веб приложения этичным хакером.
В завершении такой атаки исполнитель по пентесту формирует отчет, в котором сообщает заказчику о том, как произошло проникновение в веб-приложение и какие угрозы безопасности обнаружены. Для устранения всех недочетов даются профессиональные рекомендации.
Веб пентест напоминает атаку черного хакера, так как методы используются те же. Однако уполномоченный информационной системы в курсе обо всех действиях. Задача такого анализа – проверить безопасность веб приложения и оценить возможные риски. Всю эту информацию заказчик увидит в итоговом отчете.
По вопросу веб пентеста вы можете оставить заявку в форме справа или позвонить по телефонному номеру: +7(800)550-44-71
Что дает веб пентест?
Описание векторов атак и обнаруженных слабых мест, степень их критичности, а также план работ, направленный на восстановление безопасности системы, — все это содержится в подробном отчете белого хакера.
Ознакомившись с информацией, заказчик получает полное представление о степени защищенности своего веб приложения, а значит, сможет вовремя уберечь его от настоящих атак.
По вопросу веб пентеста вы можете оставив заявку справа или позвонив по телефонному номеру: +7(800)550-44-71
Виды тестирования на проникновение (безопасность)?
К веб пентесту применимы три метода тестирования:
«Белый ящик» (White Box), «Черный ящик» (Black Box) и «Серый ящик» (Grey Box).
Существует также градация объектов воздействия:
- Модуль портала (микросервис);
- Конкретное веб приложение;
- Агрегатор веб приложений.
По вопросу видов веб пентеста вы можете оставить заявку справа, внизу или позвонить по телефонному номеру: +7(800)550-44-71
Методы веб пентеста
При проведении веб пентеста белые хакеры используют 3 метода:
«Grey box», с англ. «серый ящик». Исполнителю по белому пентесту перед началом работ предоставляют лишь частичный доступ к информации, например информацию об используемых приложениях и портах, а также, возможно тестовые пользовательские учетки.
«White box», с англ. «белый ящик». Используя этот метод, пентестеру необходима вся информация о веб приложении, а также админские учетки.
«Black Box», с англ. «черный ящик». Применяя данный метод, информации для этичного хакера о системе предоставляется совсем немного. Приходится моделировать реальный взлом сети и оценивать ее безопасность на практике.
По вопросу методов веб пентеста вы можете оставить заявку справа, внизу или позвонить по телефонному номеру: +7(800)550-44-71
Чем отличается веб пентест от ИТ-инфраструктуры?
Веб пентест сайта используется для конкретного портала, а не в общем для серверов, на которых функционирует организация.
В состав веб-приложение может входить ряд модулей:
— подсистема регистрации событий безопасности;
— «дашбоард»;
— подсистема идентификации и аутентификации (авторизации);
— личный кабинет;
— отчеты;
— панель администратора и прочее.
Компьютерную IT-инфраструктуру отличает то, что это набор серверов, без которых сложно представить функционирование компании. Например:
— почтовый сервис, например Zimbra;
— сервис управления документацией, например CONFLUENCE;
— корпоративное облачное хранилище, например Seafile;
— бухгалтерия, например 1C;
— хранилище медиаконтента, например NextCloud;
— сервис управления задачами, например JIRA;
Подытожим. При веб пентесте исполнители работ моделируют атаку на сайт, а при пентесте IT -инфраструктуры – на IP адреса компании и порты с доступом в сеть.
По вопросу веб пентеста можете оставить заявку справа, внизу или позвонить по телефонному номеру: +7(800)550-44-71
Веб пентест сетей
Проводя веб пентест сетей, этичные хакеры стремятся проникнуть в «маршрутизирующее» и прочее «периметровое» оборудование, расположенное на границе сетей. Их цель – заполучить доступ к сети и увеличить свои полномочия.
Приведем примеры специального оборудования, которое устанавливается на границе сетей:
— криптошлюз;
— роутер;
— свитч;
— межсетевой экран;
— IPS (детектор атак).
Потенциально уязвимым может быть каждое вышеперечисленное оборудование.
Защитить безопасность сети и минимизировать репутационные риски компании помогут советы профессиональных белых хакеров:
— мониторить актуальность прошивки;
— отключение неиспользуемых функций и протоколов;
— следовать рекомендации производителей по настройке сетевого оборудования.
Это обезопасит сеть от взлома.
Веб пентест приложения
При веб пентесте копируется атака на запущенное приложение. Предполагается, что оно имеет потенциальные угрозы или по-другому лазейки для реальных хакеров. «Бреши» в системе будут им только на руку, и тогда злоумышленники смогут проникнуть в систему и расширить свои привилегии.
Веб пентест можно разделить по объектам взлома:
— интернет агрегатор
— web-сервис
— корпоративный сайт
— лэндинг
Речь не идет о том, чтобы анализировать исходный код. Это отдельный продукт или услуга. Для анализа исходников используются статические анализаторы, которые позволяют выявить небезопасные конструкции.
Вся информация про анализ исходного кода размещена по ссылке.
Веб пентест?
Веб пентест — это этичное тестирование на проникновение сайта организации или физического лица.
Цели атак и вектора различаются.
Минимальный перечень проверок может быть следующий:
— Недостаточная фильтрация GET запросов
— Наличие парольных политик (число попыток ввода паролей и др.)
— Возможность захвата клика
— Наличие csrf токена
— Тестирование наличия проверок форм ввода данных (обрезание некорректных данных)
— SQL injection
— Поиск старых версий ПО с уязвимостями
— Поиск уязвимостей SSL сертификата
При проведении веб пентеста возможна атака на веб-портал (сайт) путем изменения его интерфейса и атака на веб-сервер через адресную строку.
Это может спровоцировать поломку сервера и дальнейшее проникновение в систему для увеличения возможностей, кражи баз данных и другой интересной для хакера информации.
Внешний веб пентест
Внешний веб пентест выполняют организации, специализирующие на услугах по поиску и изучению пробелов в информационных системах. Но есть важный момент, у компании должна быть в наличие лицензия ФСТЭК на техническую защиту конфиденциальных данных.
Еще одно условие: наличие в штате сотрудников с опытом проведения пентеста.
Внешний веб пентест используют для таких объектов хакерского взлома, как IP адреса и домены / поддомены с доступом в Интернет.
Исполнители по этичному взлому при выполнении работ по внешнему веб пентесту копируют действия злоумышленников.
Внутренний веб пентест
Внутренний веб пентест осуществляется для информационной инфраструктуры организации. К ним относятся разные серверы, службы и сервисы с веб интерфейсом:
— Система управления проектами (ERP)
— Система управления клиентами (CRM)
— Система электронного документооборота
— IP-телефония
— СКУД
— Файловое хранилище
— Видеонаблюдение
— Система бизнес аналитики (BPM)
— Сервер 1С Предприятие
— Почтовый сервер
Во всех перечисленных сервисах могут появиться критические уязвимости, которыми могут воспользоваться «злые» хакеры для расширения своих возможностей и покушения на конфиденциальные сведения.
Этичное тестирование на проникновение позволит это предотвратить, вовремя обезопасив веб приложение. Пентест рекомендовано проводить периодически, чтобы защитить репутацию компании.
Веб пентест на проникновение
Веб пентест – это имитация атаки «злого» хакера на сайт, IT-инфраструктуру, агрегатор сайтов или модуль портала для выявления всех уязвимостей системы. Обнаружить их нужно до злоумышленников.
Когда работы завершатся, владелец информационной системы
получит отчет с подробным списком найденных «дыр» в системе и рекомендациями по их ликвидации.
Кто имеет право проводить веб пентест?
Веб пентест — это деятельность, которая лицензируется по закону, а потому проводить ее имеют право только компании — лицензиаты ФСТЭК России.
Выполнять такие работы могут компании, имеющие лицензию ФСТЭК России на техническую защиту конфиденциальных данных, со следующими пунктами:
е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).
б) услуги по контролю защищенности закрытых сведений от незаконного взлома и их изменений в средствах и системах информатизации;
Наличие этих пунктов в лицензии – обязательное условие. Все требования к лицензиатам ФСТЭК прописаны в постановлении Правительства №79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Как проводится веб пентест?
Этичные хакеры при проведении веб пентеста обращаются к международной методологии OWASP по тестированию защищенности веб-приложений (The Ten Most Critical Web Application Security Vulnerabilities –The Open Web Application Security Project (OWASP).
Но это не мешает использовать и индивидуальный подход к клиенту с учетом особенностей его информационной системы. Бизнес-процессы компании при этом не останавливаются. Исполнители по белому пентесту уделяют особое внимание логическим уязвимостям, заметить которые автоматическими средствами не получается.
В расчет берутся также используемые веб-порталом технологии и компоненты, в их числе как server-side уязвимости и атаки, так и client-side:
«Directory Indexing»;
«Brute Force»;
«Content Spoofing»;
«Credential/Session Prediction»;
«SSI Injection»;
«SQL Injection»;
«Cross-Site Scripting»;
«Cross-Site Request Forgery»;
«Abuse of Functionality»;
«HTTP Response Smuggling»;
«HTTP Response Splitting»;
«HTTP Request Smuggling»;
«HTTP Request Splitting»;
«SOAP Array Abuse»;
«URL Redirector Abuse»; «XPath Injection»;
«Path Traversal»;
«Predictable Resource Location»;
«Remote File Inclusion» (RFI) ;
«JSONP»;
«Cross-Site WebSocket Hijacking (CSWSH)» ;
«LDAP Injection»;
«Null Byte Injection»;
«OS Commanding»;
«XML Attribute Blowup»;
«XML Injection»;
«Routing Detour»;
«Session Fixation».
Программы для веб пентеста
У каждого специалиста свои методы работы. Исполнители по белому пентесту не исключение, они используют тот набор программ, который считают наиболее эффективным.
Приведем примерный набор программ для пентестинга:
Nmap, w3af, WebScarab
Kali linux, nessus, Burpsuite
Acunetix WVS, max patrol, Scrawlr
HP WebInspect Real-Time, Wapiti, skipfish
Услуги веб пентеста
Законодательством проводить веб пентест не запрещено. Однако такую услугу могут предоставлять своим клиентам только компании, имеющие лицензию Федеральной службы по техническому и экспортному контролю России.
Стоимость веб пентеста может варьироваться. Она зависит от масштаба объекта взлома и предпочтительных для владельца методов пентестинга (белый, серый или черный ящик).
Все лицензии для проведения веб пентеста есть у ООО «ЦБИС», найти их можно по ссылке.
Среди наших преимуществ также:
— высокое качество предоставляемых услуг,
— большой опыт работы сотрудников в сфере пентестинга.
Доверие нам оказывают крупнейшие компании России:
ЦИФРОВОЙ ПРОРЫВ
ПАО «ИнтерРАО»
ЛИДЕРЫ МЕНЯЮТ МИР
ООО «МЕДИЦИНАОБОМНЕ»
ООО «МЭЙЛ.РУ»
ДРУГОЕ ДЕЛО
АНО РСВ
МТС БАНК
БОЛЬШЕ ЧЕМ ПУТЕШЕСТВИЕ
КУЛЬТУРНАЯ ИНИЦИАТИВА
УПРАВЛЯЙ
МУРАВЬЕВ-АМУРСКИЙ
Мультикарта
НАЧНИ ИГРУ
JUNIOR
ИСКРА
ИнтерРАО
КЛУБ ЭЛЬБРУС
ТВОЙ ХОД
МОЯ СТРАНА – МОЯ РОССИЯ
CASE-IN
ЛИДЕРЫ РОССИИ
МЕЧТАЙ СО МНОЙ
Отзывы, которые оставляют о нашей работе заказчики, можно найти по ссылке.
Стоимость веб пентеста
Сколько потребуется денег на заказ услуги по пентесту? Этот вопрос часто волнует заказчиков. Стоимость начинается от 150 тысяч рублей и может доходить до 6 миллионов рублей. Все зависит от ряда критериев:
*тип тестирования (физическое проникновение, социальная инженерия, дистанционный анализ через сеть, локальное тестирование — в границах сети клиента);
*тип тестируемого доступа (проводной или беспроводной доступ);
способы тестирования (черный, серый или белый ящик);
*тестируемый уровень IT-инфраструктуры, портала, конкретного модуля портала);
*число объектов для анализа и связанных с ними объектов (домены/поддомены, сети/подсети, IP-адреса, зеркала, кластеры);
*предпочтения, пожелания по тестируемым технологиям/векторам атак (например, только веб доступ или почта или wi—fi и прочее);
*наличие пограничных анализов (только белый хакинг или с аудитом кода/функциональным тестированием);
*ограничения по времени анализа и доступности объектов для тестирования, наличие сопровождения со стороны заказчика, установленный порядок сотрудничества между представителями заказчика и исполнителя по пентесту, возможные риски (включая ответственность по договору в случае непреднамеренного повреждения объекта воздействия), существование у заказчика резервных копий данных всех объектов, подлежащих тестированию, раскрытие методик, инструментов и ноу-хау исполнителя в области тестирования, а также организация безопасных каналов связи или записи действий исполнителя в процессе тестирования.
* потребность в выезде на территорию собственника информационной системы, удаленность территории;
*вид отчетности (по схеме исполнителя или заказчика);
*осведомленность представителей владельца информационной системы о проводимом анализе;
*право на обновление ПО анализируемых объектов со стороны клиента во время пентеста;
*имеющиеся в наличие предыдущие отчеты и практика работы с объектом воздействия.
Сертификация по веб пентесту
Лицензиаты ФСТЭК России, в штате которых работают этичные хакеры с большим опытом, имеют право проводить сертификацию по веб пентесту.
В соответствии с постановлением Правительства №79, услуги по контролю защищенности информации являются подлежащими лицензированию видом деятельности.
Сотрудники компаний, имеющих данную лицензию, должны:
— иметь опыт работы по профессии не менее трех лет;
— высшее образование или переподготовка по информационной безопасности;
— опыт хакерского взлома.
Сотрудничество с белыми хакерами, соответствующими этим требованиям, гарантирует профессиональный подход к тестированию. По итогам работ собственник информационной сети получит развернутый отчет с полезными рекомендациями по устранению слабых мест в своей системе.
Оценка результативности предпринятых мер должна осуществляться не менее одного раза в три года (пункт 6 приказа ФСТЭК № 21). В качестве такой оценки веб пентест прекрасно подходит.
Веб пентест ФСТЭК
Методик для проведения веб пентеста у ФСБ и(или) ФСТЭК России на данный момент нет.
Белый тест на проникновение проводится по международной методологии OWASP.
При этом существует методика проведения работ по оценке безопасности информационной системы, созданная для испытательных лабораторий и разработчиков ПО. Она обязательна при сертификации средств защиты информации по требованиям безопасности информации в системе сертификации ФСТЭК России # РОСС RU.0001.01БИ00.
Требование ФСТЭК России и приказа №21 регламентируют, что собственники информационной системы должны осуществлять оценку результативности проведенных мер защиты персональных данных. Веб пентест – отличный пример такой оценки.
Белое тестирование на проникновение «убивает двух зайцев: проверяет защищенность системы и эффективность ранее проведенных работ.
Заказать веб пентест?
Точно определить стоимость проведения веб пентеста сложно. Она формируется индивидуально, учитываются особенности объекта воздействия и выбранного метода анализа.
Особым спросом у заказчиков пользуется метод «черного ящика».
Этичное тестирование на проникновение выполняется удаленно через Интернет по графику, установленному белым хакером самостоятельно.
На финальном этапе будет разработан отчет, с помощью которого узнает обо всех проблемах своей информационной системы.
Если будет необходимо, прописываются пояснения по всем найденным проблемам и уязвимостям для их оперативного устранения.
Купить веб пентест?
Всю информацию о стоимости веб пентеста можно получить, нажав кнопку «Заказать звонок». Ответ поступит в течение 25 секунд.
Еще раз обращаем внимание на то, что на стоимость веб пентеста влияет тип объекта воздействия и предпочтительный методов анализа (черный, белый, серый ящик).
ООО ЦБИС — компания профессионалов, с богатым опытом работы в сфере пентеста, что подтверждают многочисленные благодарности клиентов.
В коллективе ООО ЦБИС работают высококвалифицированные специалисты, знающие всё о белом хакинге. Еще одно важное преимущество – наличие в компании полного комплекта необходимых для работы лицензий.
Закажите услугу тестирования на проникновение у лидера рынка — ООО «ЦБИС» со скидкой 20% (ваш промокод PT23) прямо сейчас.
