Главная    RSS Лента     Почта   Карта сайта    Обратный звонок    Поддержка

 

          Siem Analytics

* Вход   * Регистрация    Поиск   Магазин   * FAQ
Новая тема Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
Непрочитанное сообщениеОт: 06 окт 2015, 15:16 

Зарегистрирован: 29 ноя 2013, 01:15
Сообщений: 516
Откуда: Санкт-Петербург
ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ (PENTEST)

Компания ООО «Инновационные Технологии в Бизнесе» оказывает услуги по тестированию на проникновение (Pentest) информационных систем.

В состав тестирования на проникновение входят:

Изображение попытки получения учетных записей, паролей пользователей и администраторов;
Изображение сбор информации о доступных ресурсах (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных; и администраторов;
Изображение поиск уязвимостей ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них;
Изображение попытки получения несанкционированного доступа к серверам, базам данных, с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек.

Поиск уязвимостей в веб-приложениях

Поиск уязвимостей в веб-приложениях порталов Заказчика, эксплуатация которых может привести к неавторизованному доступу к критичным данным, производится экспертно-инструментальным методом специалистами Исполнителя посредством:

Изображение Анализа страниц авторизации, в том числе с применением программы-анализатора трафика.
Изображение Использования сервиса Whois для получения дополнительной информации о целевой системе.
Изображение Использования сканеров безопасности веб-приложений, в том числе для поиска уязвимостей типа SQL injection, а также уязвимостей Cross-Site-Scripting (XSS).
Изображение Использования специализированного сканера SQL injection в случае обнаружения уязвимостей типа SQL injection на целевой системе, с целью получения доступа к защищаемой информации, в том числе учетным данным пользователей системы.
Изображение Использования специализированных сканеров безопасности веб-приложений для анализа TLS/SSL протоколов, а также применяемых алгоритмов шифрования.

Нагрузочное тестирование (DOS-атака)

По предварительному согласованию со специалистами Заказчика ответственными за обеспечение информационной безопасности порталов Заказчика возможно проведение нагрузочного тестирования на предмет отказоустойчивости порталов так называемым DOS-атакам, с применением специализированного программного обеспечения. Специализированное программное обеспечение выполняет атаку вида «отказ в обслуживании» путём постоянных передач на нужный сайт или узел TCP-, UDP-пакетов или HTTP-запросов с целью появления сбоев в работе целевого узла, стоит отметить что данное программное обеспечение может отправлять запросы в режиме многопоточности. Стоит отметить что в общем случае для не стабильной работы целевой системы как правило достаточно в 200 потоков отправить 65 000 000 UDP запросов на 80 или же 443 TCP порт, что займет около 20 минут.

Анализ результатов

По результатам выполнения заданных проверок формируется сводный отчет в формате rtf, html или pdf, часть которых приводится в приложении А к Отчету. Экспертом Исполнителя проводится анализ обнаруженных уязвимостей и степени их влияния на защищенность объекта обследования осуществляется экспертным методом. Формат описания уязвимостей включает:

Изображение краткое описание;
Изображение подробное описание;
Изображение решение;
Изображение ссылки;
Изображение оценка по системе CVSS (Common Vulnerability Scoring System).

Например в системе контроля защищенности и соответствия стандартов MaxPatrol используется два типа классификации уязвимостей по степени риска:

Изображение качественная (три степени риска, информация);
Изображение система CVSS.

Первая классификация основана на простой градации степени риска уязвимостей. Фактически такая система отражает мнение разработчиков сканера относительно степени опасности уязвимости. При принятии решения об устранении уязвимости этого не всегда бывает достаточно. Более гибкие принципы заложены в основу общей системы оценки уязвимостей Common Vulnerability Scoring System (CVSS). Система CVSS предполагает разбиение характеристик уязвимости на три группы:

Изображение базовые (Base);
Изображение временные (Temporal);
Изображение связанные со средой эксплуатации (Environmental).

Лежащая в основе CVSS методика позволяет легко оценить информацию о существующих уязвимостях в информационных системах по различным критериям. В отчетах системы контроля защищенности и соответствия стандартов MaxPatrol для большинства уязвимостей присутствует базовая оценка CVSS, для некоторых уязвимостей приведена также и временная оценка. При классификации и оценке степени опасности уязвимости следует учитывать также классификацию:

Изображение уязвимости реализации (Vulnerability);
Изображение уязвимости конфигурации (Exposure).

Уязвимости реализации обусловлены ошибками проектирования и реализации ПО, которые могут быть напрямую использованы нарушителем для получения доступа к ресурсам системы в обход принятых правил разграничения доступа, например:

Изображение позволяют атакующему получить необходимую информацию;
Изображение позволяют атакующему скрыть следы своей деятельности;
Изображение позволяют получить доступ путем подбора идентификатора и пароля в короткие сроки.

Для эксплуатации уязвимостей конфигурации не всегда требуются специальные программные средства. Нарушитель может воспользоваться штатными средствами системы. Устранение такого рода уязвимостей, как правило, требует внесения изменений в настройки системы. Определение уровня защищенности объекта обследования осуществляется путем обработки, анализа и оценки результатов аудита состояния информационной безопасности корпоративной информационной системы. По результатам, полученным в ходе выполнения, экспертами дается заключение об уровне защищенности объекта обследования и приводятся рекомендации по его повышению.

ИзображениеЗадать вопрос ИзображениеЗаказать обратный звонок


 Профиль  
 
 
Ответить с цитатой  
Показать сообщения за:  Сортировать по:  
Новая тема Ответить на тему  [ 1 сообщение ] 

Список форумов » ООО «ИТБ» » Услуги » Тестирование на проникновение (Pentest)


Вы не можете начинать темы
Вы можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
 cron

© ООО «ИТБ» 2009-2016 г.
Все права защищены. 

copyright.