Пен-тесты или тестирование на проникновение является видом «технического аудита» представляющего собой реализацию нескольких сценариев действия потенциального хакера максимально приближенные к тем, что он будет использоваться при реальном взломе и проникновении в корпоративный ИТ-периметр. 

 

Пен-тест позволяет получить ответы на следующие вопросы:

  • насколько защищена ваша ИТ-инфраструктура, сервера, корпоративные CRM, ERP, BPM – системы, web-сайт, базы данных, хранилища и сетевой стек передачи данных;

  • сколько времени потребуется профессиональному хакеру что бы проникнуть в ваш сеть, скопировать или уничтожить финансово-значимые данные;

  • какие средства защиты оказались не эффективны против хакерской атаки и что можно предпринять для устранения критически уязвимых мест;

  • насколько имеющиеся средства защиты соответствует требованиям международных и отечественных стандартов и лучших мировых практик в области компьютерной безопасности – PCI DSS v3.2, NIST-800, ГОСТ Р 57580.1-2017

Пен тест для сайта (web penetration test)

Проверка сайта на уязвимости осуществляется путем тестирования его защищенности к комбинированным методам атак основанных на методологиях OWASP, OSSTMM, а также лучших практиках и рекомендациях стандарта PCI DSS. 

 

В процессе аудита сайта выполняются следующие действия над тестируемым ресурсом:

  • Поиск уязвимостей серверных компонентов;

  • Поиск уязвимостей в веб-окружении сервера;

  • Проверка на удаленное выполнение произвольного кода;

  • Проверка на наличие переполнений;

  • Проверка на наличие инъекций (внедрение кода);

  • Попытки обхода системы аутентификации веб-ресурса;

  • Проверка веб-ресурса на наличие XSS / CSRF уязвимостей;

  • Проверка на перенаправление на другие сайты и открытые редиректы;

  • Сканирование директорий и файлов, используя перебор и «google hack»;

  • Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;

  • Атаки класса race condition;

  • Подбор паролей к админке и СУБД