• Меню

  • Контакты

  • Заказать

Каталог

Поиск уязвимостей. Анализ безопасности сайта

Поиск уязвимостей
Поиск уязвимостей

Уязвимости есть в каждой более или менее сложной системе. Согласно статистике, 85% сайтов на популярных CMS имеют дыры, а если сайт написан с нуля, то вероятность наличия в его коде критический уязвимостей стремится к 100%. Они, будучи найденными и использованными, позволяют:

  • получить доступ (в том числе на чтение) ко всем таблицам и записям баз данных;
  • внедрить вредоносные сценарии на шаблон;
  • получить Root-доступ к серверу и т.д.

В случае с CMS (бесплатными и платными) уязвимый код и/или вредоносный код может попасть на сайт: по недосмотру разработчиков движка, по причине недобросовестного подхода к своей работе создателей дополнений, из-за злого умысла человека, оптимизировавшего или выложившего в открытый доступ платного шаблона и т.д.

Но почему одни системы взламывают, а другие нет? Дело в том, что владельцы сайтов, которые дорожат информацией на нем, своевременно проводят аудит и закрывают найденные дыры, о которых уже известно. Поэтому их сайт может быть взломан только при обнаружении так называемой уязвимости нулевого дня (0-day). Однако для ее поиска нужно приложить немалое количество усилий, а, следовательно, если взлом ресурса не позволит обогатиться на несколько десятков-сотен тысяч долларов, злоумышленникам не станут создавать под него эксплоит.
Другое дело, когда на сайте есть известные уязвимости, информация о которых имеется в открытом доступе. В этом случае получить несанкционированный доступ к системе сможет даже человек со слабой теоретической базой и без опыта. Все, что ему потребуется – это правильные инструменты, которые бесплатно можно получить на специализированных форумах.

Поэтому чтобы предотвратить несанкционированный доступ к внутренней инфраструктуре сайта и его конфиденциальной информации, необходимо своевременно искать и закрывать уязвимости. Соответствующее мероприятие включает в себя комплекс задач:

  • сбор данных о системах;
  • изучение информации об уязвимостях, которые свойственны системам, на основе которых построен сайт;
  • тестирование кода на наличие ошибок, которые нарушают безопасность;
  • закрытие найденных уязвимостей.

Выполнение указанных задач требует наличия обширных знаний и навыков. Поэтому для правильного аудита и качественного закрытия дыр в системе требуется опытных специалист по компьютерной безопасности.