Комплексный аудит безопасности веб-приложений
Комплексный аудит - мощный анализ защищённости веб-ресурсов любого масштба.
Аудит представляет собой спектр работ по исследованию приложения на наличие ошибок
и уязвимостей в исходном коде, серверном окружении и иных модулях системы. Таким образом, мы охватываем
все возможные “зоны”, на которые потенциальный злоумышленник направит вектор атак.
Предполагается проведение аудита по двум моделям тестирования:
- Внешний злоумышленник непроинформированный об объекте аудита и без обладания в ней какими-либо правами.
- Внешний злоумышленник обладающий информацией об объекте аудита и обладающий в ней правами пользователя системы.
Методика проведения аудита:
Тестирование основных уязвимостей из OWASP TOP 10
Анализ информации из открытых источников
Анализ ресурса на уровнях модели OSI
Анализ контроля пользовательских запросов по OWASP
Анализ логики
Модуль Web
Модуль FTP (доступ к файлам корня сайта)
Модуль OS (анализ ресурса через удаленный доступ)