Аудит безпеки
Аудит безпеки (Security Audit) - це послуга, яка призначена для підвищення рівня безпеки ваших веб сайтів та веб додатків. Кожен власних веб сайта (сайтів) може звернутися за даною послугою, у випадку коли він хоче перевірити рівень безпеки власного сайта, перевірити його на наявність уразливостей.
Головне для власника веб сайта - це розуміння важливості безпеки власного сайта, розуміння необхідності забезпечувати його безпеку і перевіряти її (періодично), для чого і проводиться аудит безпеки. А також потрібно мати бажання приділяти увагу цьому питанню, підняти безпеку сайта на належний рівень. І виділити на безпеку сайта відповідний бюджет - потрібно розуміти, що безпека вимагає витрат, які з часом компенсуються і належний рівень безпеки принесе додаткові девіденди та прибутки.
Провести секюріті аудит можна як для одного сайта, так і для усіх ваших сайтів, або вибраної частини з них - найбільш критичних ресурсів (бажано слідкувати за безпекою усіх ваших веб сайтів). Послуга потрібна і доступна для власників сайтів будь-якого рівня: невеликих сайтів, проектів середнього розміру чи великих порталів. Усім потрібно слідкувати за безпекою власних сайтів.
Ціна за аудит безпеки договірна.
При проведенні аудиту на ваш вибір можуть бути перевірені різноманітні класи уразливостей. Як тих що ввійшли до списку веб уразливостей Web Application Security Consortium, так і деяких інших, що не ввійшли до цього списку (а також можна домовитися в індивідуальному порядку про пошук специфічних уразливостей).
В тому числі можуть бути перевірені наступні класи уразливостей:
- Аутентифікація (Authentication), до якого входять підкласи: Brute Force, Insufficient Authentication, Weak Password Recovery Validation.
- Авторизація (Authorization), до якого входять підкласи: Credential/Session Prediction, Insufficient Authorization, Insufficient Session Expiration, Session Fixation.
- Атаки на клієнтів (Client-side Attacks), до якого входять підкласи: Content Spoofing, Cross-Site Scripting (XSS), HTTP Response Splitting. А також Cross-Site Request Forgery (CSRF).
- Виконання коду (Command Execution), до якого входять підкласи: Format String Attack, CRLF Injection, OS Commanding, SQL Injection, SSI Injection.
- Недостатній захист інформації (Information Disclosure), до якого входять підкласи: Directory Indexing, Web Server/Application Fingerprinting, Information Leakage, Path Traversal, Predictable Resource Location.
- Логічні атаки (Logical Attacks), до якого входять підкласи: Abuse of Functionality, Denial of Service, Insufficient Anti-automation.
Замовити аудит безпеки вашого веб сайта чи веб додатка.