Опыт компании Е-ЛАЙТ позволяет выполнять работы по анализу защищенности Web-приложений любой сложности.
Оценка защищенности Web-приложений может выполняться как с использованием методик «черного» и «серого» ящиков, так и путем анализа исходных кодов. Второй способ более эффективен, но и более трудоемок.
В ходе работ используются общепринятые методики анализа и оценки безопасности приложений: OWASP TOP 10, Web Application Security Consortium Thread Classification и Common Vulnerability Scoring System. Анализу подвергаются все компоненты Web-приложения: дизайн, сетевое взаимодействие, настройки ОС, внешние источники данных, хранилища информации, используемые механизмы авторизации и аутентификации, серверные и клиентские компоненты.
Порядок проведения работ:
- Определение метода, который целесообразно использовать для анализа Web приложения («черный ящик», анализ исходных кодов, сочетание методов).
- Проведение инструментальных проверок и проверок ручным способом для отдельных типов уязвимостей (отсечение ложных срабатываний и выявление уязвимостей, которые не обнаруживаются автоматизированными средствами). На основании анализа характеристик обнаруженных уязвимостей, таких как сложность использования, доступность методов эксплуатации, возможные потери в случае атаки и др., выбираются те из них, которые могут быть использованы реальным злоумышленником. После чего проводится исследование уязвимостей с целью определения путей их эксплуатации, разработка программного обеспечения для проведения атаки и непосредственно сама атака.
- Все активные действия (в обязательном порядке!) согласовываются с Заказчиком.