​

​

​

Пен-тесты или тестирование на проникновение является видом «технического аудита» представляющего собой реализацию нескольких сценариев действия потенциального хакера максимально приближенные к тем, что он будет использоваться при реальном взломе и проникновении в корпоративный ИТ-периметр. 

 

Пен-тест позволяет получить ответы на следующие вопросы:

• насколько защищена ваша ИТ-инфраструктура, сервера, корпоративные CRM, ERP, BPM – системы, web-сайт, базы данных, хранилища и сетевой стек передачи данных;

• сколько времени потребуется профессиональному хакеру что бы проникнуть в ваш сеть, скопировать или уничтожить финансово-значимые данные;

• какие средства защиты оказались не эффективны против хакерской атаки и что можно предпринять для устранения критически уязвимых мест;

• насколько имеющиеся средства защиты соответствует требованиям международных и отечественных стандартов и лучших мировых практик в области компьютерной безопасности – PCI DSS v3.2, NIST-800, ГОСТ Р 57580.1-2017

​

Пен тест для сайта (web penetration test)

Проверка сайта на уязвимости осуществляется путем тестирования его защищенности к комбинированным методам атак основанных на методологиях OWASP, OSSTMM, а также лучших практиках и рекомендациях стандарта PCI DSS. 

 

В процессе аудита сайта выполняются следующие действия над тестируемым ресурсом:

• Поиск уязвимостей серверных компонентов;

• Поиск уязвимостей в веб-окружении сервера;

• Проверка на удаленное выполнение произвольного кода;

• Проверка на наличие переполнений;

• Проверка на наличие инъекций (внедрение кода);

• Попытки обхода системы аутентификации веб-ресурса;

• Проверка веб-ресурса на наличие XSS / CSRF уязвимостей;

• Проверка на перенаправление на другие сайты и открытые редиректы;

• Сканирование директорий и файлов, используя перебор и «google hack»;

• Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;

• Атаки класса race condition;

• Подбор паролей к админке и СУБД