Аудит Интернет-порталов и web-приложений

В настоящее время практически любая компания использует веб-сервисы и веб-приложения для автоматизации своих бизнес-процессов. Подавляющее большинство таких сервисов и приложений содержит уязвимости, использование которых потенциальным злоумышленником может привести к нарушению конфиденциальности, целостности или доступности информационных ресурсов компании.

Проведение аудита безопасности интернет-порталов и веб-приложений позволяет своевременно выявить имеющиеся уязвимости и предпринять действия по их устранению. Основными задачами, которые решаются в рамках аудита, являются:

• выявление уязвимостей в веб-приложениях, которые могут быть использованы внешними нарушителями для осуществления вредоносных действий в отношении Заказчика или его клиентов;
• анализ критичности найденных уязвимостей, а также поиск и описание сценариев атак, реализующих максимальный ущерб в отношении Заказчика и/или его клиентов;
• формирование рекомендаций по устранению выявленных уязвимостей.

При проведении анализа защищенности веб-приложений «ДиалогНаука» использует методику, базирующуюся на методологии и стандартах OWASP (Open Web Application Security Project), STIG (Security Technical Implementation Guide), а также рекомендациях по информационной безопасности разработчиков ПО и средств защиты информации. Как правило, аудит проводится методом Black Box, т. е. без использования аутентификационной или какой-либо другой информации о веб-приложениях. При необходимости возможно проведение анализа защищенности веб-приложений методом Grey Box с использованием непривилегированных учетных записей.

По результатам проведенного аудита представляется отчет, содержащий описание выявленных уязвимостей, а также рекомендации по их устранению.