Аудит безопасности
Аудит безопасности (Security Audit) - это услуга, предназначенная для повышения уровня безопасности ваших веб сайтов и веб приложений. Каждый владелец веб сайта (сайтов) может обратиться за данной услугой, в случае если он хочет проверить уровень безопасности собственного сайта, проверить его на наличие уязвимостей.
Главное для владельца веб сайта (web site) - это понимание важности безопасности собственного сайта, понимание необходимости обеспечивать его безопасность и проверять ее (периодически), для чего и проводится аудит безопасности. А также нужно иметь желание уделять внимание этому вопросу, поднять безопасность сайта на надлежащий уровень. И выделить на безопасность сайта соответствующий бюджет - нужно понимать, что безопасность требует затрат, которые с течением времени компенсируются и надлежащий уровень безопасности принесет дополнительные девиденды и прибыли.
Провести секюрити аудит можно как для одного сайта, так и для всех ваших сайтов, или выбранной части из них - наиболее критических ресурсов (желательно следить за безопасностью всех ваших веб сайтов). Услуга нужна и доступна для владельцев сайтов любого уровня: небольших сайтов, проектов среднего размера или больших порталов. Всем нужно следить за безопасностью собственных сайтов.
Цена за аудит безопасности договорная. Минимальная стоимость аудита безопасности - $100.
Оплата: WebMoney, LiqPAY.
Заказать аудит безопасности вашего веб сайта или веб приложения.
Заказать аудит безопасности.
Заказать аудит безопасности вашего веб сайта или веб приложения можно по электронной почте или через контактную форму:
При проведении аудита на ваш выбор могут быть проверены различные классы уязвимостей. Как тех что вошли в список веб уязвимостей Web Application Security Consortium, так и некоторых других, не вошедших в этот список (а также можно договориться в индивидуальном порядке о поиске специфических уязвимостей).
В том числе могут быть проверены следующие классы уязвимостей:
- Аутентификация (Authentication), в который входят подклассы: Brute Force, Insufficient Authentication, Weak Password Recovery Validation.
- Авторизация (Authorization), в который входят подклассы: Credential/Session Prediction, Insufficient Authorization, Insufficient Session Expiration, Session Fixation.
- Атаки на клиентов (Client-side Attacks), в который входят подклассы: Content Spoofing, Cross-Site Scripting (XSS), HTTP Response Splitting. А также Cross-Site Request Forgery (CSRF).
- Выполнение кода (Command Execution), в который входят подклассы: Format String Attack, CRLF Injection, OS Commanding, SQL Injection, SSI Injection, XPath Injection.
- Недостаточная защита информации (Information Disclosure), в который входят подклассы: Directory Indexing, Web Server/Application Fingerprinting, Information Leakage, Path Traversal, Predictable Resource Location.
- Логические атаки (Logical Attacks), в который входят подклассы: Abuse of Functionality, Denial of Service, Insufficient Anti-automation.
В качестве дополнительной услуги при проведении аудита безопасности (Vulnerability Assessment) предоставляется услуга проверки исправлений уязвимостей, которые были найдены во время аудита. Эту опциональную услугу можно заказать, чтобы проверить качество тех исправлений найденных уязвимостей, которые были сделаны вами или вашими программистами (или компанией, что занимается поддержкой вашего веб сайта).
Как показывает опыт, веб разработчики часто неэффективно исправляют уязвимости и их патчи могут быть обойдены, поэтому стоит проверять эффективность сделанных исправлений. Стоимость данной услуги - 20% от стоимости аудита.
