Аудит безпеки

Аудит безпеки (Security Audit) - це послуга, яка призначена для підвищення рівня безпеки ваших веб сайтів та веб додатків. Кожен власних веб сайта (сайтів) може звернутися за даною послугою, у випадку коли він хоче перевірити рівень безпеки власного сайта, перевірити його на наявність уразливостей.

Головне для власника веб сайта (web site) - це розуміння важливості безпеки власного сайта, розуміння необхідності забезпечувати його безпеку і перевіряти її (періодично), для чого і проводиться аудит безпеки. А також потрібно мати бажання приділяти увагу цьому питанню, підняти безпеку сайта на належний рівень. І виділити на безпеку сайта відповідний бюджет - потрібно розуміти, що безпека вимагає витрат, які з часом компенсуються і належний рівень безпеки принесе додаткові девіденди та прибутки.

Провести секюріті аудит можна як для одного сайта, так і для усіх ваших сайтів, або вибраної частини з них - найбільш критичних ресурсів (бажано слідкувати за безпекою усіх ваших веб сайтів). Послуга потрібна і доступна для власників сайтів будь-якого рівня: невеликих сайтів, проектів середнього розміру чи великих порталів. Усім потрібно слідкувати за безпекою власних сайтів.

Ціна за аудит безпеки договірна. Мінімальна вартість аудиту безпеки - $100.

Оплата: WebMoney, LiqPAY.

Замовити аудит безпеки.

Замовити аудит безпеки вашого веб сайта чи веб додатка можна по електронній пошті або через контактну форму:

При проведенні аудиту на ваш вибір можуть бути перевірені різноманітні класи уразливостей. Як тих що ввійшли до списку веб уразливостей Web Application Security Consortium, так і деяких інших, що не ввійшли до цього списку (а також можна домовитися в індивідуальному порядку про пошук специфічних уразливостей).

В тому числі можуть бути перевірені наступні класи уразливостей:

  • Аутентифікація (Authentication), до якого входять підкласи: Brute Force, Insufficient Authentication, Weak Password Recovery Validation.
  • Авторизація (Authorization), до якого входять підкласи: Credential/Session Prediction, Insufficient Authorization, Insufficient Session Expiration, Session Fixation.
  • Атаки на клієнтів (Client-side Attacks), до якого входять підкласи: Content Spoofing, Cross-Site Scripting (XSS), HTTP Response Splitting. А також Cross-Site Request Forgery (CSRF).
  • Виконання коду (Command Execution), до якого входять підкласи: Format String Attack, CRLF Injection, OS Commanding, SQL Injection, SSI Injection, XPath Injection.
  • Недостатній захист інформації (Information Disclosure), до якого входять підкласи: Directory Indexing, Web Server/Application Fingerprinting, Information Leakage, Path Traversal, Predictable Resource Location.
  • Логічні атаки (Logical Attacks), до якого входять підкласи: Abuse of Functionality, Denial of Service, Insufficient Anti-automation.

В якості додаткових послуг при проведенні аудиту безпеки (Vulnerability Assessment) ви можете замовити наступні послуги:

  • Перевірка виправлень уразливостей, що були знайдені під час аудиту. Як показує досвід, веб розробники часто неефективно виправляють уразливості й їх патчі можуть бути обійдені, тому варто перевіряти ефективність зроблених виправлень.
  • Виправлення уразливостей. Якщо ви самі не можете написати необхідні патчі, то можете замовити їх написання. Кожен розроблений патч буде максимально ефективно захищати від атак.

Також можете замовити послуги по захисту від шкідливого коду:

 

Аудит безопасности (на російській мові)