Пентест сайта и веб-приложений

пентест

Пентест или тестирование на проникновение — это способ оценки защищенности информационной системы, при котором эксперт моделирует действия злоумышленника, пытающегося получить несанкционированный доступ к информации. То есть буквально пытается ее взломать, используя тот же инструментарий и подходы, что и реальный хакер.

Актуальность пентеста веб-приложений обусловлена тем, что зачастую сами приложения являются основным способом взаимодействия организации с клиентами. На них могут храниться и обрабатываться большое количество чувствительной информации.

Заказать услуги по пентесту сайта и веб-приложений

Пентест веб-приложений: что это?

Пентесту могут подвергаться различные объекты – контроллеры домена, системы контроля и управления доступом, беспроводные сети и так далее. Также объектом пентеста могут быть веб-приложения. Веб-приложения могут иметь ряд специфических уязвимостей, которые могут быть проверены в рамках пентеста.

Например:

  • Использование слабых паролей;
  • Различные виды инъекций — вид атак, при которых злоумышленник может внедрить в форму Web-интерфейса приложения специальный код, который выполнится на сервере;
  • Межсайтовый скриптинг (XSS) — вид атак, при которых злонамеренный код через веб-сервер попадает на компьютеры пользователей и там исполняется;
  • Небезопасные конфигурации. Например, использование небезопасных настроек «по умолчанию», неправильных настроек доступа и т.д;
  • Использование для разработки веб-приложений фреймворков и платформ, имеющих уязвимости;
  • Хранение в доступных местах забытых, временных, неиспользуемых файлов, бэкапов, в которых может содержаться чувствительная информация;
  • Другое.

Помимо обнаружения уязвимостей, по согласованию с Заказчиком, эксперты компании могут проводить эксплуатацию найденных уязвимостей, который позволит более полно оценить последствия атак с использованием обнаруженных уязвимостей.

Этапы проведения тестирования на проникновение
веб-приложений

Основные этапы:

  • Планирование тестирования и первоначальная разведка. Определяются объем, цели и методы тестирования. Определяются версии служб и приложений, используемое оборудование, открытые порты и прочая информация, которая будет использоваться на последующих этапах;
  • Сканирование и попытка получения доступа. Проводятся непосредственные атаки на веб-приложение для выявления уязвимостей с попыткой эксплуатации найденных уязвимостей;
  • Сохранение доступа. Попытка обеспечения постоянного присутствия в эксплуатируемой системе путем эксплуатации найденных уязвимостей, либо установки дополнительного вредоносного ПО;
  • Анализ результатов пентеста и подготовка отчета.

Сканирование и попытка получения доступа включает следующие виды работ:

  • Сбор информации о веб-приложении из открытых источников;
  • Исследование процессов управления учетными записями, в том числе возможность получить перечень активных учетных записей злоумышленником;
  • Исследование процессов проверки вводимых данных (XSS, различные виды инъекций);
  • Исследование процессов управления ошибками (может ли злоумышленник узнать что-нибудь о Вас из сообщений об ошибках);
  • Исследование применяемых технологий шифрования трафика (может ли злоумышленник расшифровать трафик);
  • Исследование возможности загрузки вредоносных файлов, получения доступа к чужим аккаунтам;
  • Исследование процессов аутентификации и авторизации, в том числе возможность перехвата логина/пароля и обхода процесса аутентификации;
  • Исследование процессов управления сессиями, в том числе возможность повторного использования cookie-файлов и перехвата сессии;
  • Исследование процессов проверки вводимых данных (XSS, различные виды инъекций);
  • Исследование бизнес-логики веб-приложения;
  • Выявление уязвимостей, актуальных для веб-приложения;
  • Изучение архитектуры веб-приложения (какие технологии применяются, какой функционал присутствует);
  • Исследование возможных векторов атак злоумышленников с учетом информации об архитектуре веб-приложения;
  • Анализ влияния на инфраструктуру Заказчика с учетом наличия учетных данных администратора веб-приложения.

Способы проведения пентеста веб-приложений

Методы тестирования:

  • «Белый ящик»

Эксперт получает максимальный доступ администратора к тестируемым IT-ресурсам, а также полную информацию о функционале, структуре приложения, его исходные коды.

  • «Черный ящик»

В распоряжение предоставляется лишь общедоступная информация, например, только IP-адрес, другую информацию эксперт должен попытаться добыть самостоятельно.

  • «Серый ящик»

Комбинирование предыдущих двух вариантов, при котором предоставляемая информация определяется стоящими перед тестированием задачами.

Кроме того, существуют два основных подхода к определению как тестируемое приложение реагирует на попытки вторжения:

  • Статический анализ (SAST) — проверка кода приложения.
  • Динамический анализ (DAST) — проверка приложения в рабочем состоянии.

Выбор того или иного способа тестирования определяется задачами тестирования.

Программное обеспечение для проведения тестирования

Программное обеспечение для тестирования веб-приложений можно разделить на средства ручного, автоматизированного и автоматического тестирования, специализированные и универсальные средства.

Специалисты нашей компании применяют специализированное ПО для ручного и автоматизированного поиска уязвимостей:

  • Утилита Nmap — настраивает сканирование расширенного количества проверяемых IP-объектов, определяет состояние подсетей сканируемой области, включая порты и другие сервисы, поддерживает различные операционные системы, независимо от версии;
  • Инструмент Nessus — для автоматического обнаружения системных уязвимостей, у этого приложения открытый исходный код по принципу General Public License;
  • Дистрибутив KaliLinux — специализированные настройки, набор инструментов, а также системных приложений для тестирования на проникновение;
  • Утилита THC Hydra — брутфорс различных сервисов, в том числе, веб-приложений;
  • Утилита Burp Suite — инструмент для пентеста, в том числе и для брута веб-форм;
  • OWAS ZAP — специализированный инструмент для тестирования web-приложений;
  • Утилита WPSeku — средство тестирования Wordpress;
  • Фреймворк Metasploit;
  • Фреймворк тестирования на проникновение;
  • Другие.

Выбор того или иного средства индивидуален и определяется для каждого пентеста отдельно. Вплоть до того, что в отдельных случаях эксперты нашей компании могут использовать скрипты, написанные самостоятельно.

Результаты пентеста и тестирования на проникновение

По результатам тестирования оформляется отчет о пентесте, в котором приводится подробная информация об обнаруженных уязвимостях, количественная оценка их опасности. Также определяются способы, которыми они обнаружены, каким образом могут быть использованы злоумышленником и конкретные рекомендации по их устранению.

Заказать пентест можно онлайн на нашем сайте или по телефону. Сотрудники компании проинформируют о сроках и стоимости услуг, расскажут о последовательности работ по оценке рисков при тестировании на несанкционированное проникновение.

Семенов Артем Михайлович

Семенов Артем Михайлович

Консультант по информационной безопасности

Маслов Илья Петрович

Маслов Илья Петрович

Консультант в сфере информационной безопасности

Как понять, что необходимо провести пентест?

Необходимость проведения работ по анализу уязвимостей и тестированию на проникновение определены в ГОСТ 57580.1–2017. Это значит, что организации, которым нужно обеспечивать соответствие указанному стандарту в рамках Положений Банка России 683-П, 719-П, 747-П, 757-П, а также Приказа Минкомсвязи №930, необходимо на ежегодной основе проводить пентест тех или иных объектов инфраструктуры.

Что нужно предоставить и как подготовиться к прохождению пентеста?

В самом общем случае нужно сделать так, чтобы эксперты смогли подключиться к тестируемой инфраструктуре. Поэтому в случае внешнего тестирования необходимо предоставить перечень ресурсов, в случае внутреннего – возможность доступа к внутренней сети Заказчика.

При подготовке к тестированию нужно оповестить свою службу ИТ о проводимых работах и проверить наличие резервных копий критичных сервисов. Дополнительно в ходе тестирования возможно указать эксперту на желаемые временные рамки, в которые можно проводить тестирование – например, в будние дни с 9:00 до 18:00.

Сколько по времени занимает тестирование?

Это зависит от типа пентеста и может широко варьироваться. Если тестирование внешнего периметра занимает от двух недель, то работы по направлениям социальной инженерии либо тестирования внутренней сети могут длиться до двух месяцев и более.

Задать свой вопрос

    Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Наши преимущества

    Конкурентные цены

    Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

    Объективная оценка

    Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.

    Компетентные специалисты

    Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.

    Стоимость по пентесту сайта и веб-приложений

    Услуга Стоимость

    Пентест

    Тестирование на проникновение по требованиям положений Банка России 683-П, 719-П, 757-П

    от 135000 руб.

    Пентест сайта

    Анализ защищенности сайта

    от 150 000 руб.

    Пентест приложения

    Анализ уязвимостей программного обеспечения

    от 250 000 руб.

    Анализ уязвимостей по ОУД4

    Анализ уязвимостей программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013
    Срок проведения от 6 недель

    от 315000 руб.

    Социальная инженерия

    Варианты: email, телефон, очно

    от 200 000 руб.

    Свяжитесь с нами

      Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

      This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

      Услуги для Вас

      Пентест (pentest)

      Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

      Подробнее

      Аудит ЕБС (приказ № 930 Минкомсвязи России)

      Оценка соответствия в сегменте Единой Биометрической Системы в соответствии с Приказом №930 Минкомсвязи России

      Подробнее

      Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

      Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

      Подробнее