Комментарии 19
Простите, а в чём смысловая нагрузка данного поста? Дважды перечитал, так и не понял
Реклама же, типа купите нашу услугу.
Позволю подытожить:
— в настоящий момент в сети доступно большое количество инструментов и техник атак на сайты, воспользоваться которыми может даже «школьник»;
— несмотря на встроенные системы безопасности фреймворков, на которых разрабатываются сайты, имеет место быть даже такие уязвимости, как SQLi и прочее;
— согласно статистике, 7 из 10 сайтов имеют уязвимости со статусом «Critical», что позволяет злоумышленнику получить доступ к конфиденциальной информации и скомпрометировать ресурс, или использовать веб-сайт для атаки на внутреннюю сеть;
— аудит безопасности сайта в автоматическом режиме, проводимый раз в квартал, позволяет перекрыть большинство подобных атак. Кроме того, даже полноценный аудит (как в автоматическом, так и в ручном режимах) не перекрывает 100% уязвимостей (вам об этом скажет любой эксперт) — необходимо также проводить аудит исходного кода для 100% безопасности.
Если посчитать стоимость полноценного аудита безопасности: Blackbox (от 100 000 руб.) + аудит исходного кода (Whitebox, от 150 000 руб.) — то стоимость таких работ для типичного e-commerce, к примеру, составит от 250 тыс. рублей, а то и больше — от 500 000 рублей. Согласитесь, не каждая компания может себе такое позволить.
Таким образом, для максимальной компенсации рисков при минимальном бюджете можно ограничиться ежеквартальным аудитом безопасности сайта, который позволит обнаружить и устранить большинство известных векторов атак всего за 15 000 рублей за каждый аудит. Можно, конечно, приобрести сканер безопасности и производить такие проверки самостоятельно — но! для работы с подобными инструментами необходима качественная практическая подготовка в области ИБ — иначе такой скан будет или нерезультативным, или его последствия окажутся печальными.
Результаты проведенного аудита безопасности e-commerce сайта в автоматическом режиме (в обезличенном виде) вы можете скачать по ссылке. Я постарался изложить всю суть мыслей автора по данной статье, если что-то упустил — поправь меня, пожалуйста, LukaSafonov.
— в настоящий момент в сети доступно большое количество инструментов и техник атак на сайты, воспользоваться которыми может даже «школьник»;
— несмотря на встроенные системы безопасности фреймворков, на которых разрабатываются сайты, имеет место быть даже такие уязвимости, как SQLi и прочее;
— согласно статистике, 7 из 10 сайтов имеют уязвимости со статусом «Critical», что позволяет злоумышленнику получить доступ к конфиденциальной информации и скомпрометировать ресурс, или использовать веб-сайт для атаки на внутреннюю сеть;
— аудит безопасности сайта в автоматическом режиме, проводимый раз в квартал, позволяет перекрыть большинство подобных атак. Кроме того, даже полноценный аудит (как в автоматическом, так и в ручном режимах) не перекрывает 100% уязвимостей (вам об этом скажет любой эксперт) — необходимо также проводить аудит исходного кода для 100% безопасности.
Если посчитать стоимость полноценного аудита безопасности: Blackbox (от 100 000 руб.) + аудит исходного кода (Whitebox, от 150 000 руб.) — то стоимость таких работ для типичного e-commerce, к примеру, составит от 250 тыс. рублей, а то и больше — от 500 000 рублей. Согласитесь, не каждая компания может себе такое позволить.
Таким образом, для максимальной компенсации рисков при минимальном бюджете можно ограничиться ежеквартальным аудитом безопасности сайта, который позволит обнаружить и устранить большинство известных векторов атак всего за 15 000 рублей за каждый аудит. Можно, конечно, приобрести сканер безопасности и производить такие проверки самостоятельно — но! для работы с подобными инструментами необходима качественная практическая подготовка в области ИБ — иначе такой скан будет или нерезультативным, или его последствия окажутся печальными.
Результаты проведенного аудита безопасности e-commerce сайта в автоматическом режиме (в обезличенном виде) вы можете скачать по ссылке. Я постарался изложить всю суть мыслей автора по данной статье, если что-то упустил — поправь меня, пожалуйста, LukaSafonov.
Как же вам всем удаётся подбирать такие оригинальные КДПВ к статьям про безопасность?
habrahabr.ru/company/panda/blog/271953
habrahabr.ru/company/panda/blog/268875
habrahabr.ru/company/pentestit/blog/270633
habrahabr.ru/company/pentestit/blog/261569
habrahabr.ru/company/panda/blog/271953
habrahabr.ru/company/panda/blog/268875
habrahabr.ru/company/pentestit/blog/270633
habrahabr.ru/company/pentestit/blog/261569
Я так понимаю, вы критикующие комментарии не принимаете к своим статьям, раз грозный меч LukaSafonov прошёлся абсолютно по всем комментаторам в этом топике?)
Если скан автоматический, то почему ежеквартально? Проще же купить что-то вроде XSpider и сканировать хоть каждый день.
Люди всегда самая явная дыра в системе безопасности!
Таких статей в последнее время пруд пруди на хабре именно от вас habrahabr.ru/company/pentestit/blog/252227
вода-вода-вода-вода-вода-вода-нашсайт-вода-вода
Статья получилась «ни о чем». Сотряение воздуха с описанием тривиальных вещей понятных даже людям не имеющим своих сайтов. Вопрос один: какую цель преследовал автор статьи публикуя ее на хабре?
Таких статей в последнее время пруд пруди на хабре именно от вас habrahabr.ru/company/pentestit/blog/252227
вода-вода-вода-вода-вода-вода-нашсайт-вода-вода
Статья получилась «ни о чем». Сотряение воздуха с описанием тривиальных вещей понятных даже людям не имеющим своих сайтов. Вопрос один: какую цель преследовал автор статьи публикуя ее на хабре?
Это корпоративный блог, и мы в нем рассказываем о нашей деятельности.
так а зачем одно и то же писать только чуть смысл менять и содержание ?!
и сразу всем говорить что вы не правы ?!
и сразу всем говорить что вы не правы ?!
По крайней мере автор пишет сам, а не ищет людей для написания — https://www.fl.ru/projects/2522337/trebuetsya--chelovek--dlya-napisaniya-stati-na-habrahabr.html
Не совсем понятна суть претензии. Каждая статья — уникальна и, как заметил мой коллега, мы действительно рассказываем о нашей деятельности. С таким же успехом можно спросить — «почему вы пишите постоянно об информационной безопасности». Каждая опубликованная статья анализируется, основным показателем является итоговое количество «плюсов».
и мне -2 за правду
все + поставил кому они влепили
простите за такой флуд но это правда !!!!
все + поставил кому они влепили
простите за такой флуд но это правда !!!!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ежеквартальная проверка безопасности сайта