Анализ защищенности веб-приложений

Анализ защищенности веб-приложений направлен на выявление и поиск недостатков, использование которых позволяет нарушителю реализовывать получение полного или частичного контроля над веб-приложением, получение несанкционированного доступа к информации, обрабатываемой веб-приложением, использование веб-приложения для организации атак на рабочие места пользователей.

Потребности анализа защищенности веб-приложений

Веб-среда является наиболее критичной к обнаружению уязвимостей, рекомендуется с регулярной периодичностью, а также перед публикацией производить проверку защищенности веб-приложений.

Методика анализа защищенности веб-приложений

Используются методы и инструменты идентифицирующие:

  • ошибки в реализации механизмов аутентификации пользователей;
  • ошибки в реализации механизмов авторизации и разграничения доступа;
  • отсутствие или недостаточность механизмов противодействия атакам на пользователей веб-приложений (межсайтовое выполнение сценариев, подделка запросов и т.п.);
  • уязвимости, приводящие к нарушению логики функционирования веб-приложений (внедрение операторов SQL, выполнение команд операционной системы и т.п.);
  • раскрытие конфиденциальной информации, в том числе – раскрытие информации об особенностях реализации функций приложения, используемых программных компонентах и прочей информации, облегчающей нарушителю организацию атаки;
  • ошибки в реализации доступных пользователю функций приложения;
  • ошибки в настройке операционной системы, веб-сервера, системы управления контентом и прочих компонентов веб-приложения.

Результаты анализа защищенности веб-приложений

По результатам аудита формируется отчет, производится описание хода работ, выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности их использования, описание последствий реализации выявленных уязвимостей. Описывается методика проведения тестирования. К техническому отчету также формируются выводы для руководства по результатам проведения тестирования. В отчет также включаются рекомендации по устранению выявленных уязвимостей и результаты эксплуатации нескольких критичных уязвимостей
Вернуться к списку