Отзыв Автоторгбанк о проделанной работе

Целью данного исследования была симуляция атаки потенциального нарушителя на веб-ресурсы, оценка уровня их защищённости, обнаружение уязвимостей, анализ и разработка рекомендаций по их устранению. Благодарим ПМ за сотрудничество и рекомендуем в качестве надёжного исследователя защищённости банковских ИС.

Связанные услуги

Пентесты сайтов и веб-приложений

Внедрение процедур безопасной разработки программного обеспечения (Secure SDLC)

Управление уязвимостями

Бесплатный пентест сайта

С мая по сентябрь 2016 года сотрудники Отдела исследования информационных технологий «Перспективного мониторинга» протестировали на проникновение три веб-ресурса банка, связанные с обслуживанием клиентов.

Цель данного исследования — симулировать атаки потенциального нарушителя на веб-ресурсы банка, оценить уровень их защищённости, обнаружить уязвимости, разработать рекомендации по их устранению.

Задачи проекта

  • Собрать информацию об используемых технологиях.
  • Протестировать конфигурацию сетевой инфраструктуры, серверов, элементов информационного окружения и платформы приложения.
  • Протестировать механизмы аутентификации, парольную политику, процессы регистрации новых пользователей и восстановления аккаунтов, устойчивость к брутфорсу.
  • Определить роли пользователей и проверить возможность повышения привилегий.
  • Протестировать механизм управления сессиями, проверить области действия cookies.
  • Протестировать альтернативные способы разграничения доступа.
  • Проверить защищённость транспортного уровня взаимодействия «клиент-сервер».
  • Проверить корректность обработки передаваемых данных.
  • Протестировать логику работы приложения.

Решение

В соответствии с требованиями заказчика для исследования использовались следующие начальные условия:

  • Исследователи не имели представления об архитектуре тестируемого объекта (приложения) и моделировали различные атаки с позиции нарушителя, имеющего первоначальный доступ только к открытой части исследуемого веб-приложения («черный ящик»).
  • Исследователи имели доступ к отдельным компонентам тестируемого объекта, моделировали действия нарушителя с учётом знаний от лица реального пользователя, получившего доступ к дополнительным сервисам исследуемого веб-приложения в результате аутентификации и авторизации («серый ящик»).
  • Мы не проводили стресс-тестирование и не использовали методы социальной инженерии.

Результаты

Тестирование на проникновение выявило 12 уязвимостей, большая часть из которых — уязвимости низкого уровня критичности.

По всем обнаруженным уязвимостям и недостаткам мы дали рекомендации к их устранению или существенному снижению угроз. Благодаря выполнению этих действий повысился уровень защищённости банка к воздействию потенциального нарушителя

Похожие проекты
Исследование уровня защищённости мобильного приложения по продаже интерактивного контента
Заказчик — разработчик федеральной платформы по распространению интерактивного контента для российских учебных заведений. Заказчику потребовалось исследовать мобильное приложение для Android, iOS и Windows на предмет рисков, связанных с кражей и неправомерным использованием интеллектуальной собственности.
Подробнее
Проверка защищённости клиент-серверной системы продаж
Заказчик обратился к нам с просьбой проверить защищённость клиент-серверной системы продаж. Поскольку сервисы предоставлялись дистанционно, требовалось подтверждение безопасности архитектуры и клиент-серверного взаимодействия. Нам удалось разработать методику фаззинга, которая гарантированно вызывала сбои в работе сервера. А при помощи ряда уязвимостей в клиентском ПО мы смогли менять информацию на терминале, отправлять на сервер изменённые данные и клонировать терминалы.
Подробнее
Аудит программного обеспечения для «Эльдорадо»
Заказчик — ООО «Эльдорадо», один из крупнейших розничных продавцов электроники и бытовой техники в России.Задачей исследователей было проверить текущий уровень защищённости ПО.
Подробнее