Аудит безопасности сайта (проверка сайта на уязвимости) — ряд процедур, нацеленных на обеспечение стабильной работы веб-ресурса, безопасности данных и снижения рисков.

Ни для кого не секрет, что экономическая ситуация сейчас диктует новые правила, в том числе и в конкурентной борьбе. Если раньше «война технологий», кибершпионаж и деструктивные действия были, в основном, уделом больших корпораций или целых государств, то теперь эти методы вполне успешно применяются в малом и среднем бизнесе.

Сайты оффлайн компаний пока оставим в стороне, а сегодня поговорим про коммерческие вебсайты, чей основной доход связан с интернет деятельностью.

Проверка сайта на безопасность — это комплекс работ по выявлению ошибок в коде сайта и программном обеспечении сервера, воспользовавшимися которыми злоумышленники могут атаковать и взломать сайт.


Мотивация, которую применяют злоумышленники может быть различной — это и бахвальство, и поиск выгоды как для себя лично, так и работая на «заказ».

Из последних «громких» примеров — взлом фриланс-биржы FL.ru habrahabr.ru/post/251487


скриншот сообщения взломщика от имени одного из администраторов

Здесь ресурсу явно нанесен репутационный ущерб, лояльность пользователей снижена. Новых пользователей, возможно, будет сложно привлекать: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
В результате поисковой выдачи GOOGLE по запросу FL.RU вторым идет топик на Хабре о сливе пользовательской базы.

Что бы дал аудит безопасности биржы FL.RU — подбор паролей учетных записей администраторов ресурса помог бы выявить эти учетные записи. Дополнительные рекомендации и правила по их соблюдению помогли бы избежать такой досадной оплошности. Отсутсвие ограничения доступа к критичному функционалу (учетные записи пользователей) с недоверенного IP адреса только усугубил положение.

Репутационные риски взлома сайта компании естественно повлияют на доходность компании. Но существует и прямая угроза кражи данных, представляющих ценность для компании. Веб сайт компании, связанный с онлайн-деятельностью — интернет магазин, электронная биржа и проч. — основной инструмент получения прибыли — зачастую содержит в себе базу данных клиентов, тем более ценную, если сервис подразумевает длительную работу с клиентом, повторные покупки и прочее.

Также большой ущерб компании может нанести манипуляция платежными данными, мошеннические транзакции в системах ввода/вывода средств или системах оплаты.

Злоумышленников, атакующих сайт, условно можно разделить на два типа:

1. Берем всё, что плохо лежит.

Такого рода злоумышленники пытаются получить доступ к большому количеству сайтов, используют примитивные техники, «шумят в логах». Обычно такого рода субъекты сканируют сайт(ы) популярными сканерами уязвимостей или ищут уязвимые CMS под конкретный эксплоит. Их может интересовать как пользовательская база, так и банальный iframe на т.н. exploit-pack.


поиск подельников для совершения правонарушения по статье 273 УК РФ


Вовремя проведенный аудит безопасности веб-приложений поможет выявить уязвимые компоненты и проблемные области сайта. Рекомендации помогут быть готовыми к отражению хакерских атак.

2. Атакуем конкретную цель.

Такого рода злоумышленники обычно мотивированы на получение определенных данных или их уничтожение:







объявления на «околохакерских» форумах

В данном случае злоумышленник не ограничится пассивными методами — скорее всего он будет атаковать сайт до тех пор, пока не получит требуемый ре��ультат, использую все возможные комбинации векторов атаки.

Существенно повысить защищенность сайта может помочь комплексный аудит безопасности, как правило включающий в себя следующие действия:

  • Поиск уязвимостей серверных компонентов;
  • Поиск уязвимостей в веб-окружении сервера;
  • Проверка на удаленное выполнение произвольного кода;
  • Проверка на наличие инъекций (внедрение кода);
  • Попытки обхода системы аутентификации веб-ресурса;
  • Проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей;
  • Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
  • Попытки произвести Remote File Inclusion / Local File Inclusion;
  • Поиск компонентов с известными уязвимостями;
  • Проверка на перенаправление на другие сайты и от��рытые редиректы;
  • Сканирование директорий и файлов, используя перебор и «google hack»;
  • Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
  • Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
  • Атаки класса «race condition»;
  • Внедрение XML-сущностей;
  • Подбор паролей.


Аудит безопасности сайта — это упреждающая мера, которая позволяет получить адекватную оценку защищенности ресурса компании, полную информацию о найденных уязвимостях, возможные сценарии атак и рекомендации по их устранению. Это, по сути, не событие, а непрерывный процесс по обеспечению безопасности бизнес-процессов сайта компании, сохранению деловой репутации, экономического роста и развития бизнеса.

Не ждите, пока Ваш сайт будет атакован злоумышленниками — закажите комплексный аудит безопасности сайта у профессионалов.

Be secure!