Оценка защищенности Web-приложений
Продукт снят с продаж.
Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru
Согласно отчету корпорации Mitre, более четверти уязвимостей, обнаруженных в 2006 году приходится на проблемы безопасности Web-приложений. В отличие от операционных систем, СУБД и прикладного ПО, используемых в корпоративной сети, Web-приложения как правило создаются внутри компании и не проходят такой тщательный контроль качества, как широко распространенные продукты. Статистика компании Positive Technologies по обнаруженным уязвимостям показывает, что до 70% Web-приложений содержит серьезные недочеты.
С другой стороны, проблемы в Web-приложениях гораздо легче обнаружить и использовать. В связи с этим "взлом через порт 80", является популярным инструментом в арсенале злоумышленника. Отчет "Internet Security Threat Report" компании Symantec показывает, что до восьмидесяти процентов уязвимостей, которые могут быть использованы злоумышленниками, приходится на Web-серверы.
Используя недочеты, допущенные в ходе разработки и эксплуатации систем, атакующие получают возможность копировать и модифицировать информацию в корпоративных базах данных, осуществлять мошеннические действия ("фишинг", "фарминг"), проникать во внутреннюю сеть Компании и многое, многое другое.
Значительные потери бизнеса, связанные с недостаточной защищенностью Web-служб нашли свое отражение в ряде отраслевых стандартов. Так, в версии 1.1 документа Payment Card Industry Data Security Standard (PCI DSS) фигурируют требования по анализу исходного кода приложений третьей стороной, специализирующейся на безопасности прикладных систем.
Опыт компании Positive Technologies, позволяет выполнять работы по анализу защищенности Web-приложений любой сложности. Базовая оценка защищенности Web-приложений производится в ходе других работ, таких как "Технологический тест на проникновение". Этой информации достаточно для получения представления об уровне защищенности той или иной системы. Однако, для идентификации максимального количества недочетов, необходим глубокий анализ всех аспектов реализации приложения.
Оценка защищенности Web-приложений может выполняться как с использованием методики "черного ящика", так и путем анализа исходных кодов. Второй способ более эффективен, но и более трудоемок.
В ходе работ используются общепринятые методики анализа и оценки безопасности приложений, в разработке которых эксперты Positive Technologies принимают активное участие: OWASP TOP 10, Web Application Security Consortium Thread Classification и Common Vulnerability Scoring System. Анализу подвергаются все компоненты Web-приложения: дизайн, сетевое взаимодействие, настройки ОС, внешние источники данных, хранилища информации, используемые механизмы авторизации и аутентификации, серверные и клиентские компоненты.
В общем случае порядок проведения работ следующий:
- Определение метода, который целесообразно использовать для анализа WEB приложения ("черный ящик", анализ исходных кодов, сочетание методов).
- Проведение инструментальных проверок и проверок ручным способом для отдельных типов уязвимостей (отсечение ложных срабатываний и выявление уязвимостей, которые не обнаруживаются автоматизированными средствами).
- Выбор используемых уязвимостей. На основании анализа характеристик обнаруженных уязвимостей, таких как сложность использования, доступность методов эксплуатации, возможные потери в случае атаки и др., выбираются те из них, которые с высокой степенью эксплуатации могут быть использованы реальным злоумышленником. После чего проводится исследование уязвимостей с целью определения путей их эксплуатации, разработка программного обеспечение для проведения атаки.
- Осуществление эксплуатации ряда наиболее критичных уязвимостей. Проводится серия согласованных с Заказчиком атак.
- Формирование аналитического отчета и рекомендаций по устранению выявленных уязвимостей.
Результатом работы будет являться отчет, содержащий:
- Выводы для руководства, содержащие общую оценку уровня защищенности WEB приложения.
- Методику проведения теста.
- Информацию по всем выявленным уязвимостям.
- Результаты эксплуатации нескольких критичных уязвимостей.
- Рекомендации по устранению выявленных уязвимостей. В зависимости от используемого при анализе подхода рекомендации могут включать и примеры корректного кода.
- При необходимости, на основе анализа структуры приложения и обнаруженных уязвимостей эксперты формируют политику фильтрации для используемого в компании Web Application Firewall и других средств защиты.
Логическим продолжением могут являться работы:
- Проектирование и внедрение систем защиты