Анализ защищенности веб и мобильных приложений
Выявление всевозможных уязвимостей в приложениях, мошеннических схем, каналов утечки конфиденциальной информации и других ошибок, способных привести к нарушению конфиденциальности, целостности и доступности информации или получению несанкционированного доступа к административным функциям.
Основной задачей является проведение независимого исследования, которое позволяет оценить текущее состояние информационной безопасности системы, определить возможные риски и минимизировать угрозы ИБ.
Методы тестирования
Черный ящик – не предоставляются учетные данные и информация о тестируемой среде
Серый ящик – предоставляются необходимые для анализа права в тестируемой среде, а также некоторые сведения о ее реализации
- Сбор информации о системе и используемых технологиях
- Сканирование с помощью сканеров безопасности
- Ручной поиск всевозможных уязвимостей и ошибок
- Верификация и анализ выявленных уязвимостей
- Эксплуатация выявленных уязвимостей
- Оценка рисков и угроз информационной безопасности
- Составление отчета
Методологии
-
01
Open Web Application Security Project (OWASP)
-
02
Web Application Security Consortium (WASC)
-
03
Open Source Security Testing Methodology Manual (OSSTMM)
-
04
EC-Council LPT
-
05
Mobile App Security Verification Standard (MASVS)
-
06
OWASP Mobile Security Testing Guide (MSTG)
Результаты
-
Независимая оценка уровня информационной безопасности приложений
-
Полный отчет с описанием всех выявленных уязвимостей, сценариев эксплуатации и рекомендации по устранению каждой уязвимости и повышению уровня безопасности в целом
-
Отчет для высшего руководства с рекомендациями и описанием возможных бизнес рисков
-
Устранение существующих угроз и рисков информационной безопасности