Анализ защищенности веб-приложений

Банки располагают веб-приложениями, выполняющими определенные бизнес-задачи. Чаще всего это интернет-банкинг, веб-приложения для оказания ИТ-поддержки клиентам/сотрудникам банка, веб-приложения для онлайн выдачи займов/кредитов, и др. Основная проблема состоит в том, что такие приложения находятся в сети Интернет. Хакер может их анализировать на предмет наличия уязвимостей, которые приводят к утечкам данных клиентов/сотрудников, краже аккаунтов клиентов/ сотрудников, нелегитимному переводу денежных средств и др.


Решение

Для выявления уязвимостей, которые могут привести к угрозам и рискам в области информационной безопасности мы используем методологию проведения анализа защищенности веб-приложений. Опираемся на стандарты и лучшие практики в области информационной безопасности и проведения тестирования на проникновения (OWASP TOP 10, SANS TOP 25, OSSTTM, и др. ).

В рамках выполнения анализа защищенности веб-приложений по усмотрению заказчика мы используем три различных метода:

1. «Черный» ящик. Хакер не обладает учетной записью в веб-приложении.
2. «Серый» ящик. Хакер обладает учетной записью пользователя веб-приложения.
3. «Белый» ящик. Хакер обладает учетной записью пользователя веб-приложения, а также исходным кодом веб-приложения.

В ходе работ проводим следующие проверки:

  • ручной анализ защищенности других сервисов хоста, на котором расположено исследуемое веб-приложение;
  • анализ защищенности веб-приложений с использованием автоматических сканеров уязвимостей;
  • ручные проверки уязвимостей в соотвествии с базами уязвимостей OWASP TOP 10 и SANS TOP 25;
  • поиск логических уязвимостей веб-приложения (накручивание денежных средств, нелегитимные переводы денежных средств клиента, и др.)

Результат

После оказания услуги предоставляем:

  • подробный отчет о выявленных уязвимостях с использованием риск-ориентированного подхода;
  • взаимодействие и помощь разработчикам веб-приложения при устранении уязвимостей;
  • видеозапись эксплуатации критичных уязвимостей;
  • высокоуровневую презентацию для высшего руководства банка о текущем состоянии защищенности веб-приложений.