Сканирование сайта

Тестирование на проникновение (pentest) для сайтов (облегченная версия)

sensitive Data Exposure

Тестирование на проникновение (Pentest) для сканирования сайтов


Проведение тестирования на проникновение (Pentest) для Web приложений и сайтов.


Проверьте, насколько защищена ваши WEB сайты.
По окончании проведения тестирования на проникновение (Pentest) для сканирования Web сайтов вы получите отчет в котором буду подробно описаны все найденные уязвимости, попытки эксплуатации и способы их устранения.


Наша команда Поисковая Механика профессионально занимается тестированием на проникновение и предлагает вам проведение тестирования на проникновение (Pentest) для ваших Web приложений и сайтов.


В тестирование на проникновение Web приложений и сайтов входит:

  • анализ структуры web-ресурса
  • сбор данных о исполняемом содержимом на серверах (OS, ПО web-сервера)
  • сбор данных о технологиях, используемых в web-приложениях (ASP, Java, CGI и т.п.)
  • сбор данных о структуре директорий web-ресурсов и типах хранящихся файлов
  • сбор данных о применяемых механизмах аутентификации
  • сбор данных о средствах управления сессиями
  • сбор данных о взаимодействии с внешними ресурсами
  • сбор данных о типах обрабатываемых данных
  • автоматизированный анализ функционирования компонентов Web-сайта
  • Ручной анализ функционирования компонентов Web-сайта
  • эксплуатация найденных уязвимостей

Проводится выявление уязвимостей следующих типов(в терминологии OWASP, WASC, OSSTMM):

  • broken Authentication and Session Management
  • cross-Site Scripting (XSS)
  • broken Access Control
  • sensitive Data Exposure
  • insufficient Attack Protection
  • cross-Site Request Forgery (CSRF)
  • using Components with Known Vulnerabilities

Результатом работ является отчет в составе:

  • описания выявленных уязвимостей
  • описания предпринятых попыток проникновения и результатов их выполнения
  • перечень разработанных рекомендаций по повышению уровня защищенности.
  • Цена указана за 1 Web сайт (не более 100 Web страниц).
  • При заказе от 4 Web сайтов цена договорная.


Проекты, выполненные нашей командой:


Крупный банк: аудит конфигураций оборудования сегмента доступа пользователей к сервисам банка. методы защиты для мобильных устройств В результате аудита было найдено более 100 ошибок конфигурации и 7 критических уязвимостей.


Оператор связи:  в рамках аудита PCI DSS. поиск уязвимостей на сайте Результат тестирования: найдены критические уязвимости в Web приложениях.


Крупный банк: анализ мобильных приложений ДБО на платформах Android и iOS методом тестирования на проникновение (без анализа кода). проверка на sql уязвимость Результат тестирования: в приложениях найдены критические недостатки, позволяющие сделать перевод средств пользователя ДБО на произвольные реквизиты.


Крупная торговая сеть: социотехническое тестирование на проникновение. Запросы, похожие на «защита от sql-инъекций» Результат тестирования: полный контроль над ИТ системой.
Региональный банк: внешнее и внутреннее тестирование на проникновение в рамках аудита PCI DSS.

Результат тестирования: найдены серьезные уязвимости, позволяющие получить доступ к персональным данным клиентов банка (копии паспортов, ИНН и т.д.)

Зарубежная платежная сис: проведение нагрузочного тестирования на отказ в обслуживании для Web ресурсов. pentest тестирование на проникновение Результат тестирования: успешная демонстрация возможности проведения DDoS атаки на уровнях L3 и L7. проверка на взлом Заказчику предоставлены рекомендации.

Банк первого уровня: проведение внутреннего тестирования на проникновение.
Крупная нефтегазовая компания: проведение тестирования на проникновение для систем кассового обслуживания и учета.

Результаты тестирования: найдены критические уязвимости, позволяющие менять данные на кассовом оборудовании и в системе кассового учета.
Крупная платежная сис: проведение внутреннего тестирования на проникновение. сканирование сайта на уязвимости Результаты тестирования: получен доступ более чем к 500 серверам, данным платежных карт и данным процессинга.


Похожие статьи Pentest