Аудит безопасности веб-приложения
Проверка сайта на уязвимости осуществляется путем тестирования на устойчивость к комбинированным методам атак и основана на методологиях OWASP, WASC, OSSTMM, а также лучших практиках и рекомендациях стандарта PCI DSS. Все работы подкрепляются обширным практическим опытом специалистов.
В 100% случаев мы выявляем уязвимости из списка OWASP TOP 10, в 80% случаях обнаруженные уязвимости носят критичный характер, позволяя получить несанкционированный доступ к конфиденциальной информации или к серверу. В практике бывают случаи, когда аудит безопасности сайта завершался получением доступа к ИТ-инфраструктуре заказчика. Там, где становится невозможным использование сканеров уязвимостей, проводим поиск и эксплуатацию уязвимостей в ручном режиме, используем различные техники обхода и прочие эффективные механизмы атаки для наиболее полной и точной оценки защищенности веб-приложений.
Список входящих услуг:
- Поиск уязвимостей в автоматическом режиме
- Поиск уязвимостей в ручном режиме
- Анализ веб-окружения
- Анализ веб-сервера
- Анализ смежной инфраструктуры
- Детальный отчет
- Рекомендации
- Compliance Management
- Нагрузочное тестирование (дополнительно)
Круглосуточная защита сайта
Nemesida WAF — облачный Web Application Firewall, обеспечивающий защиту веб-приложения от хакерских атак в режиме 24/7. Преимуществом облачной версии Nemesida WAF является простота активации, отсутствие необходимости обслуживать WAF и встроенный механизм защиты от DDoS-атак.
Для определения атак мы используем их сигнатуры, а также метод машинного обучения. Сотрудники отдела мониторинга инцидентов в круглосуточном режиме наблюдают за состоянием защищаемых сайтов и системы защиты. В редких случаях, когда Web Application Firewall не может самостоятельно определить, является ли запрос легитимным, специалисты его оперативно анализируют и принимают решение — заблокировать или разрешить запрос. Таким образом достигается 100% точность выявления атак, а размещение модулей Nemesida WAF в европейских дата-центрах (Германия, Франция, Канада) позволяет блокировать даже мощные DDoS-атаки величиной до 3 Gbps.
Список входящих услуг:
- Комплексный метод защиты
- Защита от множества категорий атак: SQL injection, Cross-site Scripting (XSS), Local\Remote File Include и прочих
- Защита от эксплойтов популярных CMS
- Защита от сканирования сайта на уязвимости
- Защита от DDoS-атак, инструментов сканирования и вредоносных ботов
- Защита от перебора паролей
- Круглосуточное реагирование на инциденты
- Ежемесячный отчет
Все работы выполняются при условии предоставления технического задания (ТЗ) со стороны заказчика. Стоимость услуг рассчитывается индивидуально, согласно представленному ТЗ.