Поиск уязвимостей

Поиск уязвимостей. Анализ безопасности сайта

Уязвимости есть в каждой более или менее сложной системе. Согласно статистике, 85% сайтов на популярных CMS имеют дыры, а если сайт написан с нуля, то вероятность наличия в его коде критический уязвимостей стремится к 100%. Они, будучи найденными и использованными, позволяют:

  • Получить доступ (в том числе на чтение) ко всем таблицам и записям баз данных.
  • Внедрить вредоносные сценарии на шаблон.
  • Получить Root-доступ к серверу и т.д.

В случае CMS(бесплатными и платными) уязвимый код или вредоносный код может попасть на сайт: по недосмотру разработчиков движка, по причине недобросовестного подхода к своей работе создателей дополнений, из-за злого умысла человека, оптимизировавшего или выложившего в открытый доступ платного шаблона и т.д.

Но почему одни системы взламывают, а другие нет? Дело в том, что владельцы сайтов, которые дорожат информацией на нем, своевременно проводят аудит и закрывают найденные дыры, о которых уже известно. Поэтому их сайт может быть взломан только при обнаружении так называемой уязвимости нулевого дня (0-day). Однако для ее поиска нужно приложить немалое количество усилий, а, следовательно, если взлом ресурса не позволит обогатиться на несколько десятков-сотен тысяч долларов, злоумышленники не станут создавать под него эксплоит.

Другое дело, когда на сайте есть известные уязвимости, информация о которых имеется в открытом доступе. В этом случае получить несанкционированный доступ к системе сможет даже человек со слабой теоретической базой и без опыта. Все, что ему потребуется – это правильные инструменты, которые бесплатно можно получить на специализированных форумах.

Поэтому, чтобы предотвратить несанкционированный доступ к внутренней инфраструктуре сайта и его конфиденциальной информации, необходимо своевременно искать и закрывать уязвимости. Соответствующее мероприятие включает в себя комплекс задач:

  • Сбор данных о системах.
  • Изучение информации об уязвимостях, которые свойственны системам, на основе которых построен сайт.
  • Тестирование кода на наличие ошибок, которые нарушают безопасность.
  • Закрытие найденных уязвимостей.

Выполнение указанных задач требует наличия обширных знаний и навыков. Поэтому для правильного аудита и качественного закрытия дыр в системе требуется опытный специалист по компьютерной безопасности.

комментарии

Олег 2.05.2018 13:52:34

Доброго времени суток! Сколько стоит проверить на уязвимости сайт?

Ответить