Mājaslapu drošības audits

Detaļas
5 1 1 1 1 1 1 1 1 1 1 Novērtējums 5.00 (1 vērtējums)
Mājaslapas drošības audits

Vai Jūs zināt cik droša ir Jūsu mājaslapa? Vai tā netiks uzlauzta? Kam pievērst uzmanību, lai padarītu mājaslapu drošāku? Uz šiem jautājumiem atbildēs mūsu piedāvātais Mājaslapu drošības audits.

Šī audita laikā mēs veiksim Jūsu mājaslapas izpēti, ka arī analizēsim tās atbildes uzvedību un dažādiem nestandarta pieprasījumiem. 

Lai veiktu šo auditu, mums nav nepieciešamas nekādas piekļuves paroles jūsu lapai. Ar Jūsu atļauju mēs darbosimies atbilstoši ethical hacking principiem.

Mēs piedāvājam divu veidu mājaslapu drošības auditu:

- pamata audits: analizējam mājaslapas kodu, manuāli pārbaudam zināmos drošības riskus;

- paplašinātais audits: iekļauj visas pamata audita darbības, kā arī papildus automatizētas darbības, kas ģenerē nestandarta pieprasījumus mājaslapai un pārbauda lapas atbildes reakciju atbilstību drošības standartiem.

 

Kādi ir populārakie drošības riski mājaslapām?

Galvenie drošības riski katrai mājaslapai ir:

  • Informācijas noplūde, nekorekta sesiju pārvaldība;
  • XSS (starpvietņu skriptošanas) uzbrukumi;
  • SQL injekcijas datubāzē.

 

Informācijas noplūde, t.sk. nekorekta sesiju pārvaldība: šis drošības risks apdraud ikvienu tīmekļa vietni, kas reģistrē lietotājus. Ja lietotāju reģistrācija netiek pareizi pārvaldīta, jebkurš lapas apmeklētājs un/vai lietotājs var piekļūt svešu lietotāju kontiem, dažreiz pat gluži nejauši (nekorektas sesijas noildzes gadījumā). Šādi, izmantojot informācijas noplūdi vai trūkumus autentifikācijas vai sesiju pārvaldības funkcijās (piemēram, izpausti lietotājvārdi, paroles, sesiju identifikatori), var uzdoties par citu lietotāju. Šāda ievainojamība var iespaidot dažus vai pat visus lietotājus. Tiklīdz uzbrukums mājaslapai ir izdevies, uzbrucējs iegūst pilnu pieeju lietotāja datiem un var veikt jebkuras darbības vietnē reģistrēta lietotāja vārdā. Visbiežāk šādu uzbrukumu mērķis ir priviliģēti lietotāji, kā, piemēram, mājaslapu administratori.

XSS uzbrukumi: ja Jūsu mājaslapā ir atrodama kāda datu ievades forma, kas sniedz iespēju lapas apmeklētājam ievadīt datus (kaut vai tikai komentāru), tā var kļūt par starpvietņu skriptošanas (XSS) uzbrukuma mērķi. XSS uzbrukumi parasti ir līdzīgi injekcijām, ar kuru palīdzību tiek mājaslapai pievienots ļaundabīgs kods. Ja tīmekļa vietne nav nodrošināta pret starpvietņu skriptošanu (XSS), uzbrucējs, nosūtot tekstu ar uzbrukuma kodu, ievieto tīmekļa vietnē savu programmu, kas tiek izpildīta lapas apmeklētāju pārlūkprogrammās, tādējādi iegūstot informāciju par apmeklētāju datiem, piemēram, lietotāja vārdu un paroli. Tīmekļa pārlūkprogrammas, kas neveic tām iesūtīto datu atbilstošu pārbaudi vai filtrēšanu, ļauj uz klienta datora izpildīties šādam ļaundabīgam kodam. Nepilnības tīmekļa lietojumprogrammās, kas pieļauj šādas darbības, veido lielāko daļu drošības ievainojamību tīmekļa vietnēs. Lai gan starpvietņu skriptošanas (XSS) uzbrukumu mērķis bieži vien ir lapas apmeklētājs nevis pati lapa, šadi ļaundabīgi kodi var arī pārveidot lapas saturu. Izmantojot šo ievainojamību, uzbrucējs var izpildīt kodu upura tīmekļa pārlūkā, pārtvert lietotāja sesiju, ievietot ļaunprātīgu saturu tīmekļa lapā, pāradresēt lietotājus uz citu lapu, pārņemt kontroli pār lietotāja pārlūkprogrmmu, izmantojot citu ļaunprātīgu programmatūru, kā arī veikt citas darbības.

SQL injekcijas datubāzē: vēl viena plaši izplatīta ievainojamība, kas rodas, ja netiek veikta ievadīto datu validācija. Atšķirībā no XSS injekcijām, kuru mērķis ir tīmekļa vietnes apmeklētāji, SQL injekcijas veido, lai uzbruktu pašai tīmekļa vietnei – precīzāk tās datubāzei. Lielākā daļa SQL injekcijas uzbrukumu parasti norit caur vietnes datu ievades formu, kuras ievadītie dati vēlāk tiek apstrādāti, izmantojot datubāzi (piemēram, reģistrēšanās vai pieteikšanās forma). Taču tā nav vienīgā vieta, caur kuru urķis var uzdarboties. Ļoti plaši izplatīta ir arī uzbrukumi caur URL jeb lapas adresi. Veiksmīgas injekcijas rezultātā urķis var iegūt arī informāciju no datubāzes, to izmainīt (ievadīt, atjaunot, izdzēst), izpildīt administratora darbības (piemēram, noslēgt datu bāzes pārvaldības sistēmu), vai pat izpildīt komandas ar servera OS. Zagti, zaudēti vai bojāti dati var bojāt uzņēmuma reputāciju vai nest lielus zaudējumus.

Mūsu mājaslapu drošības audits apskata ne tikai šos tiešos drošības riskus, bet arī citus riskus (piemēram, lietotājvārdu un paroļu uzminēšanu, ģenerējot neskaitāmus brute force pieprasījumus), kā arī piedāvā nepieciešamos uzlabojumus mājaslapai, kas preventīvi novērš iespējamos mājaslapas drošības apdraudējumus.

Svarīgi!  Pakalpojumu - mājaslapu drošības auditu mēs sniedzam tikai tad ja esam pārliecināti, ka pakalpojuma pasūtītājs ir mājaslapas īpašnieks vai tā pilnvarota persona!

 

Sazināties ar mums

Uzsāc sava projekta virzību jau šodien!

Aizpildi zemāk esošo kontaktu formu - pāris teikumos izstāsti prasības. Mēs sazināsimies ar Tevi vienas darba dienas laikā vai ātrāk.

0/1000

ADETA.LV is not affiliated with or endorsed by The Joomla! Project™. Use of the Joomla!® name, symbol, logo and related trademarks is permitted under a limited license granted by Open Source Matters, Inc.

ADETA SIA © 2007-2020, Visas tiesības rezervētas.