Аудит веб-приложений

Аудит веб-приложений

Основными целями проведения аудита являются:

  • убедиться что используемые в WEB приложении решения, основаны на лучших практиках в области информационной безопасности и соответствуют всем требованиям регуляторов;
  • получить информацию для идентификации текущего уровня риска WEB приложения.

Основными задачами, решение которых предусматривает достижение указанных целей в ходе проведения аудита, являются:

  • идентификация, оценка и приоритезация существующих уязвимостей в WEB приложении;
  • проверка безопасности архитектуры WEB приложения;
  • получение рекомендаций по улучшению информационной безопасности WEB приложения.

При проведении аудита компонентов WEB приложения используется методология Open Web Application Security Project (OWASP), кроме того при проведении некоторых проверок используется собственная методология Компании ЗАО «ДиалогНаука», основанная на методологии и стандартах STIG (Security Technical Implementation Guide) министерства обороны США а также рекомендациях по безопасности вендоров ПО и средств защиты информации.

Аудит проводится в 3 этапа:

  • Тестирование методом Black Box
  • Тестирование методом Grey Box
  • Тестирование методом Grey Box с использованием результатов прошлого этапа

Тестирование методом Black Box
На данном этапе проводятся проверки, без использования аутентификационной и какой либо другой информации о WEB приложении.

Тестирование методом Grey Box
На данном этапе проводятся те же самые проверки, что и на первом этапе, но с использованием предоставленной Заказчиком аутентификационной информации и правами обычного пользователя системы. Кроме этого осуществляется попытка эскалации привилегий обычного пользователя вплоть до уровня привилегий администратора.

Тестирование методом Grey Box с использованием результатов прошлого этапа
На данном этапе осуществляются проверки с использованием информации полученной из отчета по прошлому аудиту. Кроме того детально изучаются сетевая топология, архитектура и документационное обеспечение исследуемого приложения.

Автоматический поиск уязвимостей осуществляется с использованием средств анализа защищенности Nessus Professional, HP Webinspect и Accuentix. При этом используются как профайлы OWASP, так и собственные профайлы разработанные Компанией ЗАО «ДиалогНаука». После автоматизированного поиска уязвимостей, проводиться ручной поиск уязвимостей, включающий в себя, как стандартные проверки OWASP, так и дополнительные, в том числе основанные на информации, полученной при автоматизированном поиске.

Отчетные документы

По результатам проведения аудита подготавливаться следующие документы:

  • Детальный технический отчет
  • Отчет для руководства

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».