Досвід компанії Е-ЛАЙТ дозволяє виконувати роботи з аналізу захищеності Web-додатків будь-якої складності.
Оцінка захищеності Web-додатків може виконуватися як з використанням методології “чорного” і “сірого” ящиків, так і шляхом аналізу вихідних кодів. Другий спосіб більш ефективний, але і більш трудомісткий.
В ході робіт використовуються загальноприйняті методики аналізу та оцінки безпеки додатків: OWASP TOP 10, Web Application Security Consortium Thread Classification і Common Vulnerability Scoring System. Аналізу піддаються всі компоненти Web-додатків: дизайн, мережева взаємодія, налаштування ОС (оперативної системи) , зовнішні джерела даних, сховища інформації, використовувані механізми авторизації і аутентифікації, серверні і клієнтські компоненти.
Порядок проведення робіт:
- Визначення методу, який доцільно використовувати для аналізу Web додатків ( “чорний ящик”, аналіз вихідних кодів, поєднання методів).
- Проведення інструментальних перевірок і перевірок ручним способом для окремих типів вразливостей (відсікання помилкових спрацьовувань і виявлення вразливостей, які не виявляються автоматизованими засобами). На підставі аналізу характеристик виявлених вразливостей, таких як складність використання, доступність методів експлуатації, можливі втрати в разі атаки і ін., обираються ті з них, які можуть бути використані реальним зловмисником. Після чого проводиться дослідження вразливостей з метою визначення шляхів їх експлуатації, розробка програмного забезпечення для проведення атаки і безпосередньо сама атака.
- Всі активні дії (в обов’язковому порядку!) узгоджуються з Замовником.