Тестирование уязвимостей сайта

Тестирование уязвимостей сайта

Мы очень любим искать уязвимости на сайтах. О чем Вы можете убедиться в нашем блоке Bug Bounty. Но не со злым умыслом - чем более уязвимостей мы находим, тем больше наши проекты становятся защищены.
Уязвимости на сайте очень опасны для бизнеса - они могут дестабилизировать работу сайта или остановить ее вовсе. Особо остро этот вопрос стоит у интернет-магазинов и корпоративных порталов. Но и более простые сайты так же находятся в зоне риска - сегодня Вы ведете на своем сайте блог с рецептами тортов, а завтра злоумышленники майнят на Вашем сайте криптовалюту. И это в лучшем случае.

Самые популярные уязвимости которые мы находим

  • XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Опасен возможностью утечки данных (доступы в личный кабинет, данные банковских карт).
  • CSRF (англ. Сross Site Request Forgery — «Межсайтовая подделка запроса», также известен как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Осуществляется на стороне клиента. Мы уже писали статью о том, насколько опасен CSRF.
  • SSRF - (англ. Server Side Request Forgery — «Серверная подделка запроса») - атака, в результате который хакер можем инициировать запросы с атакуемого хоста А на другие компоненты системы, например на хост В. При этом у него нет прямой возможности послать такой запрос на хост В.
  • XXE инъекция - это тип атаки на приложение, которое анализирует ввод XML. Хотя это относительно эзотерическая уязвимость по сравнению с другими векторными атаками веб-приложений, например, CSRF, мы максимально тестируем эту уязвимость, когда она появляется, поскольку она может привести к извлечению конфиденциальных данных и даже к удаленному исполнению кода (RCE). Благодаря XXE ранее был взломан facebook.
  • HTML инъекция - одна из наиболее популярный уязвимостей, связанная с отсутствием форматирования html.
  • SQL инъекция - это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД (чаще всего это MySQL) что угодно.

Пример Вы можете прочитать в нашей статье Уязвимости на eldorado.ru

Мы тестируем сайты на различных платформах, но своим клиентам всегда предлагаем использовать CMS Bitrix. В этой CMS есть отлично работающий модуль проактивной защиты.


Категории услуг