Перехват сеанса

Проведение тестов на проникновение и перехват сеансов выявит все проблемы безопасности

Сети, может


Ежедневно в Интернет злоумышленниками осуществляются сотни - тысячи взломов веб-сайтов, серверов приложений и баз данных. безопасность серверов баз данных Взлом корпоративного веб-сайта компании, являющегося ее представительством в Сети, может серьезно подорвать имидж и репутацию компании и вызвать падение ее курса акций.


Зачем нужны тесты на проникновение


Огромное число успешных вторжений из Интернет наглядно показывает незащищенность большинства ресурсов.

Незащищенность сети компании, обусловлена целым рядом факторов и заблуждений:

  • непонимание менеджментом величины ущерба, который может принести успешная атака на ИТ систему компании
  • отсутствие информации у менеджмента об истинном уровне защиты
  • ложная уверенность менеджмента о надежной собственной защите
  • отсутствие или нехватка квалифицированного персонала в отделе ИТ - безопасности
  • отсутствие разработанной стратегии и политики информационной безопасности
  • отсутствие или недостатки применяемой системы защиты ИТ - ресурсов
  • мы не представляем интереса для атаки
  • в нашей вычислительной системе нет критичной важной для компании информации
  • наш веб-сервер выполняет только представительскую функцию и его взлом не повлечет для компании значимого ущерба
  • у нас есть файрвол - значит мы надежно защищены


Проведение тестов на проникновение и перехват сеансов выявит все вышеозначенные факторы и заблуждения и позволит менеджменту получить наглядное и объективное представление о текущем уровне защиты автоматизированных ресурсов компании и станет первым шагом к построению надежной многоступенчатой системы защиты.


Задача теста на проникновение: полностью имитирую действия взломщика, осуществить атаку из Интернет на:


Цель теста на проникновение: обнаружить слабые места (уязвимости) в защите и, если это возможно и соответствует желанию заказчика, осуществить показательный взлом.
Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании.

  1. получить доступ к конфиденциальной информации
  2. получить возможность изменения конфиденциальной информации
  3. нарушить работоспособность системы
  4. По результатам тестов создается отчет, в котором поэтапно описываются основные действия команды аналитиков в процессе тестового взлома и указываются слабые места в защите, из-за которых атака либо потенциально возможна, либо была успешна проведена.


Тесты на проникновение могут осуществляться на следующие объекты:
Веб-скрипты, исходный и исполняемый код


Основные условия проведения тестов на проникновения:

  1. оповестить о проводимой работе как можно более узкий круг топ-менеджеров компании, по возможности, исключив менеджеров отделов ИТ и безопасности
  2. не разглашать внутри компании вплоть до окончания работ факт проводимых тестов на проникновение
  3. сохранять конфиденциальность всей полученной в процессе тестов на проникновение информации о системе заказчика
  4. по желанию заказчика сохранять конфиденциальность самого факта проведения теста на проникновение
  5. Исполнитель не несет ответственности за возможные сбои и временную остановку автоматизированной системы Заказчика в процессе проведения тестов на проникновение

Похожие статьи Pentest

  • Методика тестирования на проникновение

    Для выявления возможных рисков информационной безопасности и получения независимой оценки уровня защищенности информационной системы используются тесты...

  • Тесты на проникновение

    Тестирование на проникновение - попытка взлома информационного ресурса компании, направленная на получение оценки уровня безопасности исследуемого...

  • Хакинг и тестирование на проникновение

    В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса...

  • Комплексный тест на проникновение

    О дним из распространенных методов проведения аудита информационной безопасности является тестирование на проникновение ( Penetration test ), которое...

  • Тестирование на проникновение

    Тестирование на проникновение ( penetration testing ) - метод оценки защищенности корпоративной сети, заключающийся в моделировании атаки злоумышленника...