Пентест сайта и веб-приложений

Мы предлагаем:

  • Анализ защищенности клиентских и серверных приложений, API;
  • Тестирование методом белого и черного ящика;
  • Анализ уязвимостей инфраструктуры функционирования WEB-приложения.

Почему мы:

  • Нашими экспертами проведено более 500 исследований программного обеспечения;
  • Исследования основывается как на ГОСТ/ISO 15408, так и на лучших практиках;
  • Более 10 дипломированных специалистов, осуществляющих деятельность под лицензиями ФСТЭК и ФСБ.

Важно:

Работы проводятся без деструктивного воздействия. Эксплуатация уязвимостей строго по согласованию с Заказчиком.

Пентест сайта и веб-приложений - услуги RTM Group
Пентест сайта и веб-приложений - от RTM Group
Узнать стоимость?

Эксперты по пентесту сайта и веб-приложений

Эксперт по пентесту сайта и веб-приложений Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по пентесту сайта и веб-приложений Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Для чего нужен пентест сайта

Процедура анализа уязвимостей (пентеста или тестирования на проникновение) имитирует хакерскую атаку и дает возможность выявить слабые места сайта. Пентест сайта позволяет:

  1. Обнаружить ошибки программирования;
  2. Программные закладки;
  3. Уязвимые компоненты сайта;
  4. Ошибки в настройках серверного оборудования, операционной системы и сторонних приложениях хостинга.

Методика тестирования на проникновение сайта

Пентест сайта. Объект тестирования

Проведение анализа уязвимости сайта возможно как с включенными средствами защиты (например WAF), так и без них. Тестированию подвергают как инфраструктуру, на которой функционирует сайт, так и само WEB-приложение.

Пентест сайта. Уязвимости и атаки

При этом учитываются не только OWASP TOP-10 уязвимостей, но и менее распространенные способы атак, включая ручной экспертный анализ исходного кода.

Проведение пентеста сайта

Тестирование по желанию Заказчика может проводиться как по “черному ящику” – когда предоставлен только адрес сайта, так и по “белому” – когда имеется административный доступ к серверу и/или панели управления сайтом. Возможен комбинированный вариант – “серый ящик”, когда предоставлена учетная запись пользователя сайта.

При тестировании применяются такие сканеры как OWASP ZAP, NESSUS, наборы средств реализации атак уровня METASPLOIT и собственные разработки наших экспертов.

Важно!

В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 “О лицензировании деятельности по технической защите конфиденциальной информации” тестирование на проникновение является лицензируемым видом деятельности и проводить пентест имеют право только организации имеющие лицензию ФСТЭК на ТЗКИ.

Почему RTM Group

С учетом изложенных выше нюансов, компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выявить уязвимости, но и повысить уровень защиты. Мы предлагаем различные виды теста на проникновение, включая внутренний и внешний пентест, социальную инженерию, RED Team.

Мы обладаем лицензиями:

  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

 

Заказать пентест сайта или веб-приложения

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru






Видео по пентесту сайта и веб-приложений

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по пентесту сайта и веб-приложений

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Пентест сайта

Срок – от 5 рабочих дней

от 200 000 руб.

Пентест web-приложения

Срок – от 5 рабочих дней

от 200 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

Без сбоев в работе

Мы работаем без нарушения функционирования информационной инфраструктуры Заказчика

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Услуги для вас

Продукты и решения для вас

Нам доверяют

FAQ: Часто задаваемые вопросы

Включает ли пентест сайта анализ php-кода?

Здравствуйте.
В зависимости от условий договора и, как следствие, формата пентеста, возможны варианты как с анализом, так и без. Также опционально возможна проверка защищенности WEB-сервера, на котором расположен сайт и социальная инженерия административных учетных записей.

Здравствуйте!

Я использую Debian 9 чтобы на нём стоял мой сервер minecraft. И недавно, он подвергся взлому, да-да именно дедик. Они зашли на него каким то путем обхода, минуя авторизацию, так же я заметил махинации что к дедику началось около 20-и конектов и брут к sftp, хотя он у меня даже не запущен. Все логи на дедике стерты, это всё что я мог узнать.

Я хочу чтобы вы сказали, как хакеры могли обойти систему авторизации SSH?

Способов обхода авторизации SSH существует несколько.
Самый актуальный — это перехват параметров подключения администратора ресурса.

В Вашем случае, это, вероятнее всего, Вы.
Злоумышленник (хакер) может просто подселить троян к Вам на компьютер, и перехватить вводимые Вами логин и пароль, а также украсть сертификат.

При отсутствии сертификата наиболее распространенный способ взлома – перебор (брут) пароля. При невысокой сложности пароля и отсутствии защиты от перебора – результат для злоумышленника лишь вопрос времени.

Это два основных способа преодолеть защиту подключения SSH.

Здравствуйте. Я студент, учусь на специалиста по информационной безопасности, пишу курсовую на тему: “Особенности внедрения подсистем предотвращения утечек КИ в систему комплексной безоп на пп.”

Как основную систему предотвращения утечек рассматриваю систему DLP и был бы очень благодарен, если Вы поможете с основными (общими) этапами проведения пентеста.

Добрый день.

DLP, как класс систем, является даже не основным, а, скорее, единственным. Просто многие продукты, позиционируемые иначе, содержат функционал DLP (например, тот же KES с возможностью блокировки флешек).

На Вашем месте я бы сделал упор не на пентест, а на возможности интеграции DLP с другими системами безопасности — в первую очередь SIEM и AD – так как комплексная система содержится в названии работы.

Отвечая на Ваш вопрос можно выделить (не всегда этапы таковы, но в среднем похоже):

  • инвентаризация области тестирования — сбор сведений об узлах сети, информационных системах, сетевом трафике, учетных данных и прочее — зачастую конфиденциальная информация находится уже на этом этапе в открытом доступе;
  • поиск уязвимостей — по общедоступным базам либо закрытым базам тестировщиков;
  • проверка прочности аутентификации (брутфорс);
  • попытка повышения прав доступа;
  • доступ к конфиденциальной информации.

Здравствуйте!

Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?

Здравствуйте!

В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.