Комплексный аудит безопасности
и защита интернет-проектов

Современные злоумышленники обнаруживают и эксплуатируют все новые уязвимости на веб-ресурсах, которые содержат чувствительные данные. Ошибки программной реализации, несвоевременное обновление программного обеспечения, устаревшие пароли и многое другое, все это приводит к появлению серьезных уязвимостей в Ваших интернет-проектах.

Узнать больше

Как это работает

Поиск уязвимостей
администрирования

В процессе установки и эксплуатирования веб-приложения допускается множество типичных ошибок, которые могут иметь весьма печальные последствия. «Наш продукт» проверяет наличие директорий без индексного файла, наличие служебных файлов и папок, использование типовых паролей, наличие сторонних средств администрирования, а также присутствие стороннего исходного кода. Происходит проверка индексацией поисковыми системами "чувствительных" данных.

Поиск уязвимостей
Веб-приложения

К данному типу относятся уязвимости, допущенные при создании веб-приложений. Осуществляется поиск возможностей для SQL (XPath, LDAP)-инъекций, XSS-уязвимостей, правильность обработки данных пользователей, наличие защиты от ботов. Также осуществляется поиск мест, подверженных DoS-атакам.

Поиск негативных
социальных явлений

К данной категории не относятся технические уязвимости как таковые. Происходит поиск различного рода негативной информации о Вашем веб-сайте: публикации на форумах безопасности об обнаруженной у Вас уязвимости, просьбы о взломе Вашего веб-сайта или DoS-атаке, раскрытие информации об используемых у Вас механизмах защиты. Если Ваш веб-сайт построен на типовой CMS, то также Вы получаете уведомления об обнаруженных проблемах в данной системе.

Веб сканер
продукт для выявления уязвимостей


  • Выявляет различные веб-уязвимости

  • Обнаруживает чувствительную информацию (служебные файлы, ftp и т.д.)

  • Определяет версию CMS и показывает список обнаруженных уязвимостей

  • Выявляет недостатки веб-приложений

  • Проверяет устойчивость паролей

Форматы поставки

Лицензионный пакет

Интегрированный программный комплекс для органов
государственной власти, банков и силовых структур

Online-контроль защищенности

Веб-сервис для коммерческих компаний, студий
веб-разработчиков и владельцев ценных веб-ресурсов

Примеры найденных угроз

image01
Один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то открывается возможность вносить любые изменения в базу данных (чаще всего это MySQL).
image02
В данном случае злоумышленник добавляет подзапрос, приводящий к замедлению или паузе работы базы данных при некоторых условиях. Таким образом, атакующий, сравнивая время ответа на «True» и на «False» запросы, символ за символом может получить все содержимое базы данных, но времени уйдет на это больше, чем в случае эксплуатации Boolean-based атаки.
image03
Опасно хранить резервные копии (дампы) сайта на самом сайте. При нахождении резерной копии SQL - можно узнать все о системе и пользователях.
image04
При наличии такой узявимости, открывается возможность для проведения атаки «man-in-the-middle», в которой HTTP-перенаправление вместо оригинальной зашифрованной страницы отправит пользователя прямиком на сайт злоумышленника.
image05
Опаснейшая атака, которая приводит к тому, что хакер может выполнить на неподготовленном сайте массу различных действий от имени других, зарегистрированных пользователей.
Previous Next