Услуга Пен Тест


Тестирование на проникновение (penetration test)

Пен-тесты или тестирование на проникновение является видом «технического аудита» представляющего собой реализацию нескольких сценариев действия потенциального хакера максимально приближенные к тем, что он будет использоваться при реальном взломе и проникновении в корпоративный ИТ-периметр. 

Пен-тест позволяет получить ответы на следующие вопросы:
  • насколько защищена ваша ИТ-инфраструктура, сервера, корпоративные CRM, ERP, BPM – системы, web-сайт, базы данных, хранилища и сетевой стек передачи данных;
  • сколько времени потребуется профессиональному хакеру что бы проникнуть в ваш сеть, скопировать или уничтожить финансово-значимые данные;
  • какие средства защиты оказались не эффективны против хакерской атаки и что можно предпринять для устранения критически уязвимых мест;
  • насколько имеющиеся средства защиты соответствует требованиям международных и отечественных стандартов и лучших мировых практик в области компьютерной безопасности – PCI DSS v3.2, NIST-800, ГОСТ Р 57580.1-2017

Пен тест для сайта (web penetration test)

Проверка сайта на уязвимости осуществляется путем тестирования его защищенности к комбинированным методам атак основанных на методологиях OWASP, OSSTMM, а также лучших практиках и рекомендациях стандарта PCI DSS

В процессе аудита сайта выполняются следующие действия над тестируемым ресурсом:
  • Поиск уязвимостей серверных компонентов;
  • Поиск уязвимостей в веб-окружении сервера;
  • Проверка на удаленное выполнение произвольного кода;
  • Проверка на наличие переполнений;
  • Проверка на наличие инъекций (внедрение кода);
  • Попытки обхода системы аутентификации веб-ресурса;
  • Проверка веб-ресурса на наличие XSS / CSRF уязвимостей;
  • Проверка на перенаправление на другие сайты и открытые редиректы;
  • Сканирование директорий и файлов, используя перебор и «google hack»;
  • Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
  • Атаки класса race condition;
  • Подбор паролей к админке и СУБД

Мы предлагаем:

1. получение результатов тестирования от 36 часов после начала работ;

2. гарантия анонимности и полного соблюдения конфиденциальности полученных сведений;

3. полный технический отчет о продленной работе, описание всех тестов, найденных уязвимостей и брешей в корпоративной ИТ-инфраструктуре;

4. доказательства взлома, проникновения в сеть, нарушения режима конфиденциальности полученные в результате тестирования;

5. практические рекомендации по устранению найденных уязвимостей и слабых мест защиты.

Комментариев нет:

Добавлять новые комментарии запрещено.

Подписаться на: Сообщения (Atom)