Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной услугой в области информационной безопасности.
Работа заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор играет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика. По результатам работы готовится детальный отчет, который позволит Вам не только узнать о степени защищенности конфиденциальных данных, но и получить конкретные рекомендации по устранению выявленных угроз информационной безопасности.
Существует бесплатный первичный аудит внешнего периметра в режиме Hello Man. Услуга предоставляется для коммерческих ресурсов и некоммерческих. Решение о проведении первичного аудита рассматривается индивидуально, для этого необходимо направить запрос на info@crimea-karro.ru с указанием адреса тестируемого ресурса.
Типы уязвимостей:
- SQL Injection
- PHP Injection
- Remote File Inclusion
- Local File Inclusion
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- XML External Entity
- Clickjacking
- Path Traversal
- AXFR
- Information Leakage
- Information Disclosure
- HTTP Response Splitting
- Credential/Session Prediction
- X-Path Injection
- SSI Injection
- Denial of Service (DoS)
Примеры типов уязвимостей:
SQL Injection
- Внедрение SQL-кода (англ. SQL injection) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.
- Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.
- Атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах.
Remote File Inclusion
Remote File Inclusion (RFI) представляет собой тип уязвимости, которая позволяет злоумышленнику использовать удаленный файл на серверной стороне, через скрипт на веб-сервере. Уязвимость существует из-за использования вводимых данных без надлежащей проверки.
Для более подробной информации, свяжитесь с нами через персональную контактную форму связи.
Дополнительно ознакомьтесь с корректировкой услуг ИТ-Сервиса (ITSM), для избежания проблем по предоставлению основных услуг (Penetration Testing).