Тестирование (Penetration Testing)

Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) является популярной услугой в области информационной безопасности.

Работа заключается в санкционированной попытке обойти существующий комплекс средств защиты информационной системы. В ходе тестирования аудитор играет роль злоумышленника, мотивированного на нарушение информационной безопасности сети заказчика. По результатам работы готовится детальный отчет, который позволит Вам не только узнать о степени защищенности конфиденциальных данных, но и получить конкретные рекомендации по устранению выявленных угроз информационной безопасности.

Существует бесплатный первичный аудит внешнего периметра в режиме Hello Man. Услуга предоставляется для коммерческих ресурсов и некоммерческих. Решение о проведении первичного аудита рассматривается индивидуально, для этого необходимо направить запрос на info@crimea-karro.ru с указанием адреса тестируемого ресурса.

Типы уязвимостей:

  • SQL Injection
  • PHP Injection
  • Remote File Inclusion
  • Local File Inclusion
  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • XML External Entity
  • Clickjacking
  • Path Traversal
  • AXFR
  • Information Leakage
  • Information Disclosure
  • HTTP Response Splitting
  • Credential/Session Prediction
  • X-Path Injection
  • SSI Injection
  • Denial of Service (DoS)

* Описание типов уязвимостей

Примеры типов уязвимостей:

SQL Injection

  • Внедрение SQL-кода (англ. SQL injection) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.
  • Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.
  • Атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах.

Remote File Inclusion

Remote File Inclusion (RFI) представляет собой тип уязвимости, которая позволяет злоумышленнику использовать удаленный файл на серверной стороне, через скрипт на веб-сервере. Уязвимость существует из-за использования вводимых данных без надлежащей проверки.

Для более подробной информации, свяжитесь с нами через персональную контактную форму связи.

Дополнительно ознакомьтесь с корректировкой услуг ИТ-Сервиса (ITSM), для избежания проблем по предоставлению основных услуг (Penetration Testing).


 

Последние материалы