Современные приложения уже мало чем похожи на своих предшественников. Они используют намного больше технологий, что увеличивает возможный вектор атаки, обрабатывают всё больше разной информации, включая финансовые и персональные данные. Чтобы снизить риски безопасности, мы предлагаем решения по анализу безопасности приложений.
ПАРТНЕРЫ SMARTIT
Компания SmarIT является партнером компании Solid Lab, специализирующейся на аудите безопасности приложений, тестировании на проникновение, а также предлагающей полный комплекс услуг по аудиту безопасности кода.
АУДИТ БЕЗОПАСНОСТИ WEB ПРИЛОЖЕНИЙ
На сегодня, одним из ключевых объектов интереса современных злоумышленников является эксплуатация уязвимостей в WEB-приложениях. Мы предлагаем следующий перечень работ по анализу защищенности приложений:

  • Исследование уровня защищенности WEB-приложения, его компонентов, сторонних библиотек и модулей;
  • Анализ безопасности площадки, на которой развернуто приложение, анализ настроек сети;
  • Оценка согласно рекомендациям международного сообщества OWASP.
  • В ходе работ осуществляется также анализ корректности реализации модели авторизации и контроля доступа, а также выявление уязвимостей бизнес-логики.
АУДИТ БЕЗОПАСНОСТИ ИСХОДНОГО КОДА
Проведение аудита безопасности приложений в исходных кодах — крайне необходимая процедура для своевременного выявления угроз, связанных с наличием возможных уязвимостей:

  • Дефекты кода, логические ошибки и ошибки конфигурации
  • Размещенные «закладки» и заложенные производителем функциональные особенности, приводящие к раскрытию информации
  • Небезопасные конструкции, приводящие к несанкционированному доступу к информации (buffer overflow, format string, уязвимости WEB-приложений и др.)
  • Скрытые или небезопасные каналы передачи информации

Используются следующие методы анализа:

  • Автоматический анализ – обработка системы инструментальными средствами, которые настраиваются под конкретную задачу, сборка консолидированного отчета. Позволяет быстрее и более эффективно по времени обрабатывать код, однако возможно большое количество так называемых «ложных срабатываний» по сравнению с полуавтоматическим анализом.
  • Полуавтоматический анализ – обработка системы инструментальными средствами, сборка консолидированного отчета, анализ полученного отчета специалистом, выработка рекомендаций по устранению уязвимостей.

Благодаря анализу исходного кода веб-приложения те уязвимости, которые невозможно обнаружить в рамках проведения пентеста будут найдены и внесены в отчет.
АНАЛИЗ ЗАЩИЩЁННОСТИ ПРИЛОЖЕНИЙ НА МОБИЛЬНЫХ ПЛАТФОРМАХ
На сегодня наблюдается очень активный рост рынка мобильных устройств и этот процесс не мог не повлиять на возникновение новых услуг в различных сферах бизнеса. В частности, все чаще появляются клиент-серверные приложения, разрабатываемые для мобильных платформ (iOS, Android и др.), которые позволяют пользователям осуществлять финансовые операции.
Данные приложения потенциально могут содержать уязвимости, использование которых злоумышленниками может привести к ощутимым финансовым и репутационным потерям для компании — владельца системы.
Предлагаемые работы:

  • Аудит и проверка конфигурации серверной части приложения;
  • Анализ защищенности клиентской части приложения для всех используемых приложением мобильных платформ;
  • Поиск программных уязвимостей в приложении, анализ логики его работы, проверка возможности осуществления мошеннических действий;
ОТЧЕТ
В результате работ будет предоставлен отчет, содержащий следующую аналитическую информацию:

  • краткую характеристику полученных результатов (для руководства);
  • описание объектов, вошедших в область анализа;
  • обзор используемой методики поиска недостатков;
  • для каждой области обследования – раздел с описанием найденных технических недостатков;
  • описание сценариев максимальных атак;
  • подтвержденные защитные меры;
  • рекомендации по устранению выявленных уязвимостей.
Наши специалисты
SmartIT является партнером передовых производителей продуктов по информационной безопасности.
Партнеры SmartIT предоставляют уникальные продукты и сервисы на рынке, такие как тесты на уязвимости, расследование кибер-инцидентов, мониторинг и выявление угроз предотвращения угроз
Наши партнеры