ГАЗПРОМ НЕФТЬ

Аудит безопасности сайта для салона красоты

Сайт заказчика представлял собой популярный портал салона красоты, на котором размещалась информация о компании, перечень предоставляемых услуг, а также существовала возможность on-line записи на процедуры через личный кабинет пользователя.

Заказчик готовился добавить на сайт возможность проведения электронных платежей в личном кабинете пользователя. Прежде чем интегрировать работу с реальными деньгами, необходимо было обезопасить систему, провести тестирование и выявить все возможные уязвимости. Уязвимостями могут являться любые способы взлома сайта хакерами или вредоносными вирусами, например изменение графической или текстовой информации на сайте, несанкционированный доступ к личным данным клиентов, изменение реквизитов, ложные записи на процедуры, спам-атаки и многие другие опасности. По этой причине было необходимо провести аудит безопасности системы.

Заказчик уже обращался в компанию «Текмэн» и остался доволен выполненными услугами, поэтому и эту работу он решил доверить нашей команде.

В процессе проведения аудита нашими специалистами было выявлено множество критичных уязвимостей. Еще при тестировании по принципу «чёрного ящика» (то есть без знания внутренних механизмов работы продукта) были выявлены открытые порты, через которые можно проникнуть в систему, XSS-инъекции, SQL-инъекции, позволяющие злоумышленнику изменить сайт до неузнаваемости. Тестирование проводилось как в ручном, так и в автоматическом режиме с помощью специальных web-роботов и вирусных атак. В итоге нами было обнаружено более 30 уязвимостей в системе заказчика.

Следующим шагом было проведение тестирования по принципу «белого ящика» (обладая знаниями о внутренних механизмах продукта и имея доступ к исходному коду). На этом этапе мы смогли понять, как эти уязвимости связаны с исходным кодом системы.

Результатом работы стала документация с подробным описанием всех выявленных уязвимостей и способов их ликвидации.

Разработка данного проекта заняла 6 недель. Проект был реализован командой в составе из 3 человек: руководитель проекта, специалист по информационной безопасности, технический писатель.

Отрасль: Услуги Технологии: PHP Решение: Аудит ИБ Платформа: Web
02.02.2011
Адрес в Ярославле: 150040, г. Ярославль, ул. Победы д. 38/27, оф. 503
  1. Имя
    Неверный Ввод
  2. Телефон
    Неверный Ввод
  3. Нажав кнопку "Отправить",я даю согласие на обработку моих персональных данных и получение рекламы. С условиями обработки персональных данных и получения рекламы, изложенными на сайте tecman.ru (Политика конфиденциальности ООО Текмэн) -ознакомлен и согласен

  1. Имя:
    Неверный Ввод
  2. e-mail:
    Неверный Ввод
  3. Телефон:
    Неверный Ввод
  4. Сообщение:
    Неверный Ввод
  5. Нажав кнопку "Отправить",я даю согласие на обработку моих персональных данных и получение рекламы. С условиями обработки персональных данных и получения рекламы, изложенными на сайте tecman.ru (Политика конфиденциальности ООО Текмэн) -ознакомлен и согласен