Pull to refresh

Аудит безопасности сайта — выявление рисков и угроз

Reading time 3 min
Views 30K


Аудит безопасности сайта (проверка сайта на уязвимости) — ряд процедур, нацеленных на обеспечение стабильной работы веб-ресурса, безопасности данных и снижения рисков.

Ни для кого не секрет, что экономическая ситуация сейчас диктует новые правила, в том числе и в конкурентной борьбе. Если раньше «война технологий», кибершпионаж и деструктивные действия были, в основном, уделом больших корпораций или целых государств, то теперь эти методы вполне успешно применяются в малом и среднем бизнесе.

Сайты оффлайн компаний пока оставим в стороне, а сегодня поговорим про коммерческие вебсайты, чей основной доход связан с интернет деятельностью.

Проверка сайта на безопасность — это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт.


Мотивация, которую применяют злоумышленники может быть различной — это и бахвальство, и поиск выгоды как для себя лично, так и работая на «заказ».

Из последних «громких» примеров — взлом фриланс-биржы FL.ru habrahabr.ru/post/251487


скриншот сообщения взломщика от имени одного из администраторов

Здесь ресурсу явно нанесен репутационный ущерб, лояльность пользователей снижена. Новых пользователей, возможно, будет сложно привлекать: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
В результате поисковой выдачи GOOGLE по запросу FL.RU вторым идет топик на Хабре о сливе пользовательской базы.

Что бы дал аудит безопасности биржы FL.RU — подбор паролей учетных записей администраторов ресурса помог бы выявить эти учетные записи. Дополнительные рекомендации и правила по их соблюдению помогли бы избежать такой досадной оплошности. Отсутсвие ограничения доступа к критичному функционалу (учетные записи пользователей) с недоверенного IP адреса только усугубил положение.

Репутационные риски взлома сайта компании естественно повлияют на доходность компании. Но существует и прямая угроза кражи данных, представляющих ценность для компании. Веб сайт компании, связанный с онлайн-деятельностью — интернет магазин, электронная биржа и проч. — основной инструмент получения прибыли — зачастую содержит в себе базу данных клиентов, тем более ценную, если сервис подразумевает длительную работу с клиентом, повторные покупки и прочее.

Также большой ущерб компании может нанести манипуляция платежными данными, мошеннические транзакции в системах ввода/вывода средств или системах оплаты.

Злоумышленников, атакующих сайт, условно можно разделить на два типа:

1. Берем всё, что плохо лежит.

Такого рода злоумышленники пытаются получить доступ к большому количеству сайтов, используют примитивные техники, «шумят в логах». Обычно такого рода субъекты сканируют сайт(ы) популярными сканерами уязвимостей или ищут уязвимые CMS под конкретный эксплоит. Их может интересовать как пользовательская база, так и банальный iframe на т.н. exploit-pack.


поиск подельников для совершения правонарушения по статье 273 УК РФ


Вовремя проведенный аудит безопасности веб-приложений поможет выявить уязвимые компоненты и проблемные области сайта. Рекомендации помогут быть готовыми к отражению хакерских атак.

2. Атакуем конкретную цель.

Такого рода злоумышленники обычно мотивированы на получение определенных данных или их уничтожение:







объявления на «околохакерских» форумах

В данном случае злоумышленник не ограничится пассивными методами — скорее всего он будет атаковать сайт до тех пор, пока не получит требуемый результат, использую все возможные комбинации векторов атаки.

Существенно повысить защищенность сайта может помочь комплексный аудит безопасности, как правило включающий в себя следующие действия:

  • Поиск уязвимостей серверных компонентов;
  • Поиск уязвимостей в веб-окружении сервера;
  • Проверка на удаленное выполнение произвольного кода;
  • Проверка на наличие инъекций (внедрение кода);
  • Попытки обхода системы аутентификации веб-ресурса;
  • Проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей;
  • Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
  • Попытки произвести Remote File Inclusion / Local File Inclusion;
  • Поиск компонентов с известными уязвимостями;
  • Проверка на перенаправление на другие сайты и открытые редиректы;
  • Сканирование директорий и файлов, используя перебор и «google hack»;
  • Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
  • Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
  • Атаки класса «race condition»;
  • Внедрение XML-сущностей;
  • Подбор паролей.


Аудит безопасности сайта — это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению. Это, по сути, не событие, а непрерывный процесс по обеспечению безопасности бизнес-процессов сайта компании, сохранению деловой репутации, экономического роста и развития бизнеса.

Не ждите, пока Ваш сайт будет атакован злоумышленниками — закажите комплексный аудит безопасности сайта у профессионалов.

Be secure!
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+2
Comments 6
Comments Comments 6

Articles