Аудит безопасности (Security Audit) - это услуга, предназначенная для повышения уровня безопасности ваших веб сайтов и веб приложений. Каждый владелец веб сайта (сайтов) может обратиться за данной услугой, в случае если он хочет проверить уровень безопасности собственного сайта, проверить его на наличие уязвимостей.
Главное для владельца веб сайта - это понимание важности безопасности собственного сайта, понимание необходимости обеспечивать его безопасность и проверять ее (периодически), для чего и проводится аудит безопасности. А также нужно иметь желание уделять внимание этому вопросу, поднять безопасность сайта на надлежащий уровень. И выделить на безопасность сайта соответствующий бюджет - нужно понимать, что безопасность требует затрат, которые с течением времени компенсируются и надлежащий уровень безопасности принесет дополнительные девиденды и прибыли.
Провести секюрити аудит можно как для одного сайта, так и для всех ваших сайтов, или выбранной части из них - наиболее критических ресурсов (желательно следить за безопасностью всех ваших веб сайтов). Услуга нужна и доступна для владельцев сайтов любого уровня: небольших сайтов, проектов среднего размера или больших порталов. Всем нужно следить за безопасностью собственных сайтов.
Цена за аудит безопасности договорная.
При проведении аудита на ваш выбор могут быть проверены различные классы уязвимостей. Как тех что вошли в список веб уязвимостей Web Application Security Consortium, так и некоторых других, не вошедших в этот список (а также можно договориться в индивидуальном порядке о поиске специфических уязвимостей).
В том числе могут быть проверены следующие классы уязвимостей:
- Аутентификация (Authentication), в который входят подклассы: Brute Force, Insufficient Authentication та Weak Password Recovery Validation.
- Авторизация (Authorization), в который входят подклассы: Credential/Session Prediction, Insufficient Authorization, Insufficient Session Expiration, Session Fixation.
- Атаки на клиентов (Client-side Attacks), в который входят подклассы: Content Spoofing, Cross-Site Scripting (XSS), HTTP Response Splitting. А также Cross-Site Request Forgery (CSRF).
- Выполнение кода (Command Execution), в который входят подклассы: Format String Attack, CRLF Injection, OS Commanding, SQL Injection, SSI Injection.
- Недостаточная защита информации (Information Disclosure), в который входят подклассы: Directory Indexing, Web Server/Application Fingerprinting, Information Leakage, Path Traversal, Predictable Resource Location.
- Логические атаки (Logical Attacks), в который входят подклассы: Abuse of Functionality, Denial of Service, Insufficient Anti-automation.
Чтобы обсудить это в форуме, нажмите здесь. |
