Решение

Анализ защищенности Web-приложений

Анализ защищенности веб-приложений и систем дистанционного банковского обслуживания (ДБО) является неотъемлемой частью современной стратегии кибербезопасности. Веб-приложения и ДБО часто являются основными целями для злоумышленников, так как они содержат конфиденциальные данные и предоставляют доступ к финансовым транзакциям.

Получить консультацию
image
Целью проведения анализа защищенности веб-приложений является оценка их текущего уровня защищенности, поиск уязвимостей и способов их эксплуатации для последующей выработки мероприятий, направленных на повышение уровня защищенности веб-приложения.

Для проведения используются следующие методики и проверки:

1. Полуавтоматизированный и ручной поиск уязвимостей доступных сервисов исследуемого ОО;

2. Автоматический анализ защищенности веб-приложения с использованием специальных программных средств (Burp Suite Pro и др.);

3. Проведение ручных проверок и оценка защищенности от наиболее опасных и популярных атак с использованием уязвимостей согласно статистике и рекомендациям OWASP Top 10, OWASP API Top 10, OWASP Mobile Top 10, CWE Top 25.

4. Ручные проверки возможности компрометации веб-приложения, получения доступа к данным личных кабинетов пользователей;

5. Проверки возможности доступа одного пользователя системы к конфиденциальной информации других пользователей, возможность подмены данных в учетных записях других пользователей или выполнения любых других действий от имени другого пользователя;

6. Ручные проверки механизма аутентификации в системе, в том числе подробно исследуются процессы и проводятся следующие проверки:

  • Сбор информации о веб-приложении;
  • Тестирование конфигурации веб-приложения;
  • Тестирования механизмов идентификации;
  • Тестирование механизмов аутентификации;
  • Тестирование механизмов авторизации;
  • Тестирование механизмов управления сессиями пользователей;
  • Тестирование валидации входных параметров;
  • Тестирование обработки ошибок и исключений;
  • Тестирование на предмет некриптостойкого шифрования;
  • Тестирование механизмов безопасности клиентской части приложения.

7) Ручные проверки механизмов разграничения доступа;

8) Дополнительные проверки:

  • выявление уязвимостей, связанных с раскрытием защищаемой информации;
  • получение сведений о структуре файловой системы перебором путей и имен файлов;
  • проверка возможности выполнения следующих типов атак и инъекций: XSS, SQL-инъекция, NoSQL-инъекция, LDAP-инъекция, XXE, XML-инъекция, SSI-инъекция, XPath-инъекция, IMAP SMTP-инъекция, внедрения команд операционной системы, внедрение кода, SSTI-инъекция, HTTP Request Splitting, HTTP Request Smuggling, переполнение буфера, инъекции параметров в HTTP и др.;
  • проверка корректности обработки специальных символов;
  • проверка корректности обработки параметров различной длины;
  • проверка корректности обработки числовых параметров;
  • проверка корректности приведения и преобразования типов;
  • проверка корректности обработки представления пользовательских данных, в том числе дублирование заголовков запроса;
  • проверка корректности обработки параметров универсального идентификатора ресурса;
  • проверка наличия ошибок, связанных с обработкой загружаемых файлов;
  • проверка корректности исполнения сценариев при манипулировании входными данными;
  • проверка возможности подбора аутентификационных данных;
  • проверка корректности обработки идентификаторов сессий пользователей;
  • проверка корректности реализации механизмов авторизации;
  • проверка корректности противодействия атакам на клиентов ОО;
  • проверка корректности реализации защитных средств прикладного уровня ОО;
  • прослушивание сетевого трафика и поиск в нем защищаемой информации;
  • проверка корректности взаимодействия ОО с операционной системой, в том числе с файловой системой ОС;
  • проверка прав доступа к файлам данных.

9) Поиск раскрытия внутренней информации веб-приложения: вывод отладочной информации, внутренних путей, версий используемых компонентов и т. д.;

10) Создание примеров реализации атак с использованием выявленных уязвимостей, позволяющих воспроизвести полученные результаты.

Также проводится анализ конфигурационных файлов приложения на предмет корректности настроек с точки зрения безопасности.

В результате заказчик получает:

  • отчет о найденных уязвимостях по итогам проведение внутреннего тестирования на проникновение;
  • рекомендации по устранению найденных уязвимостей;
  • рекомендации по использованию дополнительных защитных мер и процессов для снижения рисков информационной безопасности.
У Вас есть вопросы?
Вы находитесь:

Анализ защищенности Web-приложений

Анализ защищенности веб-приложений и систем дистанционного банковского обслуживания (ДБО) является неотъемлемой частью современной стратегии кибербезопасности. Веб-приложения и ДБО часто являются основными целями для злоумышленников, так как они содержат конфиденциальные данные и предоставляют доступ к финансовым транзакциям.

Цель проведения анализа защищенности

Цель проведения анализа защищенности веб-приложений заключается в оценке текущего уровня защищенности, поиске уязвимостей и способов их эксплуатации для последующей выработки мероприятий, направленных на повышение уровня защищенности веб-приложения.

Методики и проверки

Для проведения анализа защищенности веб-приложений используются различные методики и проверки. Ниже перечислены основные из них:

  1. Полуавтоматизированный и ручной поиск уязвимостей доступных сервисов исследуемого ОО.
  2. Автоматический анализ защищенности веб-приложения с использованием специальных программных средств, таких как Acunetix Web Vulnerability Scanner, Burp Suite Pro, Nessus.
  3. Проведение ручных проверок и оценка защищенности от наиболее опасных и популярных атак с использованием уязвимостей согласно статистике и рекомендациям OWASP Top 10, OWASP API Top 10, OWASP Mobile Top 10, CWE Top 25.
  4. Ручные проверки возможности компрометации веб-приложения, получения доступа к данным личных кабинетов пользователей.
  5. Проверки возможности доступа одного пользователя системы к конфиденциальной информации других пользователей, возможность подмены данных в учетных записях других пользователей или выполнения любых других действий от имени другого пользователя.
  6. Ручные проверки механизма аутентификации в системе, включая тестирование конфигурации веб-приложения, механизмов идентификации, аутентификации, авторизации, управления сессиями пользователей, валидации входных параметров, обработки ошибок и исключений, некриптостойкого шифрования, механизмов безопасности клиентской части приложения.
  7. Ручные проверки механизмов разграничения доступа.
  8. Дополнительные проверки, включающие выявление уязвимостей, связанных с раскрытием защищаемой информации, получение сведений о структуре файловой системы перебором путей и имен файлов, проверку возможности выполнения различных типов атак и инъекций (например, XSS, SQL-инъекция, NoSQL-инъекция, LDAP-инъекция), проверку корректности обработки специальных символов, параметров различной длины, числовых параметров, приведения и преобразования типов, обработки пользовательских данных, обработки загружаемых файлов, исполнения сценариев при манипулировании входными данными, подбора аутентификационных данных, реализации механизмов авторизации и защитных средств прикладного уровня.
  9. Поиск раскрытия внутренней информации веб-приложения, такой как вывод отладочной информации, внутренних путей, версий используемых компонентов и т. д.
  10. Создание примеров реализации атак с использованием выявленных уязвимостей, позволяющих воспроизвести полученные результаты.

Анализ конфигурационных файлов приложения

Важным аспектом анализа защищенности веб-приложений является проверка конфигурационных файлов приложения на предмет корректности настроек с точки зрения безопасности.

Заключение

Анализ защищенности веб-приложений является необходимым шагом в обеспечении кибербезопасности и предотвращении возможных атак и утечек данных. Он включает в себя различные методики и проверки, которые позволяют оценить текущий уровень защищенности приложения и выявить возможные уязвимости. Регулярное проведение анализа защищенности и применение соответствующих мероприятий по устранению обнаруженных уязвимостей является важной составляющей стратегии защиты веб-приложений.

Для получения консультации по анализу защищенности веб-приложений, вы можете обратиться к специалистам компании BSS, которые имеют опыт в данной области и предоставляют профессиональные услуги по проверке и повышению уровня защищенности веб-приложений.

image image

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Отправить резюме

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня
У Вас есть вопросы?

Политика конфиденциальности и согласие на обработку персональных данных

Настоящая Политика конфиденциальности описывает основы того, как мы будем обрабатывать персональную информацию, которую мы собираем в отношении вас или которую вы предоставляете нам в связи с использованием сайта BSSYS.COM. Данный сайт принадлежит Обществу с ограниченной ответственностью «Бэнкс Софт Системс» (Далее Компания BSS), адрес места нахождения: 117105, г. Москва, Нагорный проезд, д. 5. Используя сайт BSSYS.COM, вы соглашаетесь с условиями настоящей Политики.


Персональная информация

Компания BSS с уважением относится к конфиденциальности вашей персональной информации и прилагает всяческие усилия для её защиты. Для нас имеет первостепенное значение поддержание конфиденциальности любых личных данных, которые вы нам предоставляете.


Под персональной информацией в настоящей Политике понимается:

Информация, которую вы самостоятельно предоставляете при регистрации, подписке, оформлении заявки или авторизации, а также в процессе дальнейшего использования сайта BSSYS.COM, включая персональные данные.

Обязательная для предоставления услуг информация явно обозначена. К такой информации отнесены: имя, адрес электронной почты, контактный телефон.

Иная информация предоставляется пользователем на его усмотрение или может быть обязательна для предоставления, если это связано со спецификой отдельного сервиса Компании BSS, о чём явно указывается.

Данные, которые передаются в автоматическом режиме в зависимости от настроек используемого вами программного обеспечения, включая IP-адрес, cookie, данные об используемом оборудовании, параметрах и настройках браузера, операционной системе, URL-адресе, с которого был осуществлён переход, просмотры страниц, время доступа и ваше местонахождение. Эта информация привязана к устройству, которым вы пользуетесь для доступа к услугам BSSYS.COM.

Компания BSS не осуществляет проверку достоверности предоставляемой вами персональной информации, полагая, что вы действуете добросовестно, осмотрительно и прилагаете все необходимые усилия к поддержанию такой информации в актуальном состоянии. Вы можете в любой момент изменить (обновить, дополнить) предоставленную вами персональную информацию или её часть.


Цели обработки

Мы будем использовать хранящуюся у нас информацию относительно вас для следующих целей:

— Предоставление персонализированного сервиса;
— Получение вами доступа к услугам, которыми вы выразите желание воспользоваться;
— Связь с вами, в том числе для направления вам уведомлений, запросов и информации, касающихся использования сайта, обработки ваших запросов и заявок, для отправки вам по электронной почте маркетинговых сообщений Компании BSS, относящихся к нашим услугам или услугам наших партнёров;
— Улучшение качества сайта, клиентского сервиса и повышение удобства его использования.


Принципы работы с персональной информацией

Мы ни в коем случае не будем передавать вашу персональную информацию третьим лицам. В некоторых случаях Компания BSS может предоставить её третьим лицам в соответствии с настоящей Политикой либо компетентным органам по их запросу.

Мы можем передавать вашу персональную информацию некоторым третьим лицам для её обработки от нашего имени или когда это необходимо для оказания вам услуг с учётом описанных выше целей. Мы требуем от таких третьих лиц строгого соблюдения конфиденциальности передаваемой информации и запрещаем использование вашей персональной информации в собственных коммерческих целях этих компаний. Использование вами сайта BSSYS.COM означает ваше согласие с данными условиями.

Мы будем хранить вашу персональную информацию в нашей системе всё время, пока вы пользуетесь сайтом, и удалим её, как только предоставление услуги закончится либо когда вы выразите желание отказаться от услуг. По соображениям безопасности и в целях соблюдения законодательства Компания BSS хранит в течение определённого времени данные о ваших сообщениях и запросах (в том числе содержимое сообщений, время и даты написания сообщений), оставленных на сайте, а также лог-файлы о действиях, совершённых вами в рамках использования сайта.


Обеспечение безопасности персональной информации

Мы делаем всё возможное для того, чтобы обезопасить сайт BSSYS.COM и вашу персональную информацию от несанкционированных попыток доступа, изменения, раскрытия или уничтожения.

Для этого мы:

— Храним вашу персональную информацию на защищённых серверах и предотвращаем неавторизированный доступ к системам, в которых хранится персональная информация;
— Постоянно совершенствуем способы сбора, хранения и обработки данных, включая физические меры безопасности для противодействия несанкционированному доступу к нашим системам;
— Ограничиваем нашим сотрудникам, подрядчикам и агентам доступ к персональным данным, когда такой доступ не требуется для целей, указанных в настоящей Политике, а также накладываем на них строгие договорные обязательства, за нарушение которых предусмотрены серьёзная ответственность и штрафные санкции.


Использование cookie

Во время просмотра любой страницы сайта BSSYS.COM на ваш компьютер загружается сама страница, а также небольшой текстовый файл под названием cookie. Информация, которую мы получаем посредством cookie-файлов, помогает нам предоставлять услуги в наиболее удобном для вас виде. Файл cookie представляет собой небольшое количество данных, среди которых часто содержится уникальный анонимный идентификатор, посылаемый вашему браузеру компьютером сайта и сохраняемый на жёстком диске вашего компьютера. Использование сайта с помощью веб-браузера, который принимает данные из cookies, означает ваше согласие с тем, что Компания BSS может собирать и обрабатывать данные из cookies в целях, предусмотренных настоящей Политикой, а также на передачу данных из cookies третьим лицам в случаях, перечисленных в настоящей Политике. Отключение или блокировка вами опции веб-браузера по приёму данных из cookies означает запрет на сбор и обработку Компанией BSS данных из cookies в соответствии с условиями настоящей Политики конфиденциальности.


Персональные данные

Компания BSS обрабатывает ваши персональные данные с соблюдением действующего законодательства, в том числе Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».


Вы имеете право на получение в любое время информации, касающейся обработки ваших персональных данных в Компании BSS, для чего вправе направить письменный запрос на адрес: 117105, г. Москва, Нагорный проезд, д. 5, Обществу с ограниченной ответственностью «Бэнкс Софт Системс», с пометкой «запрос информации о порядке обработки персональных данных». Для исполнения данного положения Компания BSS может потребовать от вас подтверждения личности в любой непротиворечащей закону форме.


Прекращение обработки персональных данных

Вы вправе в любой момент отозвать своё согласие на обработку Компанией BSS ваших персональных данных путём направления письменного уведомления на адрес: 117105, г. Москва, Нагорный проезд, д. 5, Обществу с ограниченной ответственностью «Бэнкс Софт Системс», с пометкой «отзыв согласия на обработку персональных данных». Отзыв вами согласия на обработку персональных данных влечёт за собой уничтожение записей, содержащих ваши персональные данные, в системах обработки персональных данных Компании BSS, что может сделать невозможным пользование сервисами и услугами Компании BSS. Для исполнения данного положения Компания BSS может потребовать от вас подтверждения личности в любой непротиворечащей закону форме.


Отписка от рассылки

В любое время вы можете отказаться от получения рекламных и маркетинговых сообщений Компании BSS по электронной почте, нажав ссылку отказа от подписки в нижней части таких сообщений.