Защита от sql-инъекций

Защита от sql-инъекций после пентеста

что при


Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.
Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.


Чтобы читателям был понятен контекст, мы решили начать с бэкграунда.

 Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение и изначально называлась Защита от sql-инъекций.


Работая с заказчиками, мы систически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги.

Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.
Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи «nmap» с параметром «--script vuln».

Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.


Временами случается, что при проведении работ отдельным этапом выделяют контроль устранения уязвимостей, выявленных в ходе предыдущего исследования. проверка сайта на безопасность яндекс А также случается, что для этого заказчик предоставляет отчёт об этом самом предыдущем исследовании.

 Глядя в такой отчёт, иногда дивишься находчивости коллег по рынку.


Автоматизированное сканирование уязвимостей временами продают хоть как пентест, хоть как анализ защищённости. В таких условиях неудивительно, что приходится слышать от заказчиков нечто вроде «Взломайте нас, чтобы было красиво».

В какой-то момент мы поняли, что мы далеко не первые, кто это заметил:


Оставляем читателю для размышления вопрос — почему нет четкого понимания заказываемых услуг и их результата? Из-за некомпетентности участников рынка инфосек-услуг? Или они намеренно водят клиентов за нос, продавая более простые услуги под видом комплексных и дорогих?


Поскольку нас ни одна из двух опций не радует, мы почувствовали в себе желание поделиться собственным видением и сформировали небольшой CheatSheet по услугам в сфере практической информационной безопасности.


Давайте рассмотрим пять различных работ:

    • Редтиминг (Red Team Assessment)

    • Анализ защищенности (Security Analysis)

    • Сканирование уязвимостей (Vulnerability Scanning)



    Всю информацию, касающуюся перечисленных выше работ, для удобства мы разделили на два уровня:

      • Базовый (в основном теле статьи)

      • Расширенный (спрятан под спойлером для тех, кто хочет узнать больше)




      Определить, может ли текущий уровень защищённости инфраструктуры выдержать попытку вторжения потенциального злоумышленника с определённой целью.
      Достижение поставленной задачи.

      При этом вопрос полноты обнаруженных уязвимостей не стоит, но отражаются все уязвимости, причастные к векторам атаки.

      Результаты: Факт и/или вероятность взлома (проникновения) и получения информации злоумышленником.

      Похожие статьи Pentest