Аудит внешнего периметра — OUTSIDE GREYBOX включает в себя согласованный с заказчиком участок аудита, без указания деталей и версий сервисов которые будут анализироваться.
К примеру, заказчик предоставляет список внешних ip адресов для анализа и аудита их защищенности.
Производятся:
- Пассивный сбор информации;
- Определение веб-окружения;
- Определение платформы;
- Определение типа CMS;
- Сканирование портов;
- Сбор баннеров / поиск публичных эксплойтов;
- Автоматическое сканирование;
- Анализ данных;
- Определение «узких мест» ресурса;
- Ручной анализ в пассивном режиме;
- Сбор и анализ полученной информации;
- Анализ векторов атаки;
- Поиск уязвимостей серверных компонентов;
- Поиск уязвимостей в веб-окружении сервера;
- Проверка на удаленное выполнение произвольного кода;
- Проверка на наличие инъекций (внедрение кода);
- Попытки обхода системы аутентификации веб-ресурса;
- Проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей;
- Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
- Попытки произвести Remote File Inclusion / Local File Inclusion;
- Поиск компонентов с известными уязвимостями;
- Проверка на перенаправление на другие сайты и открытые редиректы;
- Сканирование директорий и файлов, используя перебор и «google hack»;
- Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
- Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
- Атаки класса «race condition»;
- Внедрение XML-сущностей;
- Подбор паролей.
Вся полученная в ходе аудита информация документируется и по завершению предоставляется заказчику.
Опционально, по согласованию с заказчиком в аудит могут входить деструктивные инструменты и методы для более реалистичного сходства с реальной угрозой извне.
По завершению аудита заказчику предоставляется подробный отчёт о полученных данных, имеющимся уязвимостям, а так же рекомендации по их устранению.
Вся полученная в ходе исследования информация хранится исключительно на зашифрованных носителях, что исключает риск утечки данных заказчика.