Pull to refresh

Comments 23

Простите, а в чём смысловая нагрузка данного поста? Дважды перечитал, так и не понял
Реклама же, типа купите нашу услугу.
Судя по моей карме хозяин поста обиделся)))
Позволю подытожить:

— в настоящий момент в сети доступно большое количество инструментов и техник атак на сайты, воспользоваться которыми может даже «школьник»;
— несмотря на встроенные системы безопасности фреймворков, на которых разрабатываются сайты, имеет место быть даже такие уязвимости, как SQLi и прочее;
— согласно статистике, 7 из 10 сайтов имеют уязвимости со статусом «Critical», что позволяет злоумышленнику получить доступ к конфиденциальной информации и скомпрометировать ресурс, или использовать веб-сайт для атаки на внутреннюю сеть;
аудит безопасности сайта в автоматическом режиме, проводимый раз в квартал, позволяет перекрыть большинство подобных атак. Кроме того, даже полноценный аудит (как в автоматическом, так и в ручном режимах) не перекрывает 100% уязвимостей (вам об этом скажет любой эксперт) — необходимо также проводить аудит исходного кода для 100% безопасности.

Если посчитать стоимость полноценного аудита безопасности: Blackbox (от 100 000 руб.) + аудит исходного кода (Whitebox, от 150 000 руб.) — то стоимость таких работ для типичного e-commerce, к примеру, составит от 250 тыс. рублей, а то и больше — от 500 000 рублей. Согласитесь, не каждая компания может себе такое позволить.

Таким образом, для максимальной компенсации рисков при минимальном бюджете можно ограничиться ежеквартальным аудитом безопасности сайта, который позволит обнаружить и устранить большинство известных векторов атак всего за 15 000 рублей за каждый аудит. Можно, конечно, приобрести сканер безопасности и производить такие проверки самостоятельно — но! для работы с подобными инструментами необходима качественная практическая подготовка в области ИБ — иначе такой скан будет или нерезультативным, или его последствия окажутся печальными.

Результаты проведенного аудита безопасности e-commerce сайта в автоматическом режиме (в обезличенном виде) вы можете скачать по ссылке. Я постарался изложить всю суть мыслей автора по данной статье, если что-то упустил — поправь меня, пожалуйста, LukaSafonov.
Я так понимаю, вы критикующие комментарии не принимаете к своим статьям, раз грозный меч LukaSafonov прошёлся абсолютно по всем комментаторам в этом топике?)
Судя по моей карме, их тут двое)
Да и судя по кол-ву минусов за каждый коммент, их ровно 2.
Сколько бото… ой, то есть «коллег с работы» прилагается к платному аккаунту? Вот столько и есть.
Если скан автоматический, то почему ежеквартально? Проще же купить что-то вроде XSpider и сканировать хоть каждый день.
Люди всегда самая явная дыра в системе безопасности!

Таких статей в последнее время пруд пруди на хабре именно от вас habrahabr.ru/company/pentestit/blog/252227
вода-вода-вода-вода-вода-вода-нашсайт-вода-вода

Статья получилась «ни о чем». Сотряение воздуха с описанием тривиальных вещей понятных даже людям не имеющим своих сайтов. Вопрос один: какую цель преследовал автор статьи публикуя ее на хабре?
Это корпоративный блог, и мы в нем рассказываем о нашей деятельности.
так а зачем одно и то же писать только чуть смысл менять и содержание ?!
и сразу всем говорить что вы не правы ?!
По крайней мере автор пишет сам, а не ищет людей для написания — https://www.fl.ru/projects/2522337/trebuetsya--chelovek--dlya-napisaniya-stati-na-habrahabr.html
Не совсем понятна суть претензии. Каждая статья — уникальна и, как заметил мой коллега, мы действительно рассказываем о нашей деятельности. С таким же успехом можно спросить — «почему вы пишите постоянно об информационной безопасности». Каждая опубликованная статья анализируется, основным показателем является итоговое количество «плюсов».
и мне -2 за правду
все + поставил кому они влепили
простите за такой флуд но это правда !!!!
Авторы статьи не любят критику, расходимся.
Only those users with full accounts are able to leave comments. Log in, please.

Articles