OUTSIDE GREYBOX

Аудит внешнего периметра — OUTSIDE GREYBOX включает в себя согласованный с заказчиком участок аудита, без указания деталей и версий сервисов которые будут анализироваться.

К примеру, заказчик предоставляет список внешних ip адресов для анализа и аудита их защищенности.

Производятся:

  • Пассивный сбор информации;
  • Определение веб-окружения;
  • Определение платформы;
  • Определение типа CMS;
  • Сканирование портов;
  • Сбор баннеров / поиск публичных эксплойтов;
  • Автоматическое сканирование;
  • Анализ данных;
  • Определение «узких мест» ресурса;
  • Ручной анализ в пассивном режиме;
  • Сбор и анализ полученной информации;
  • Анализ векторов атаки;
  • Поиск уязвимостей серверных компонентов;
  • Поиск уязвимостей в веб-окружении сервера;
  • Проверка на удаленное выполнение произвольного кода;
  • Проверка на наличие инъекций (внедрение кода);
  • Попытки обхода системы аутентификации веб-ресурса;
  • Проверка веб-ресурса на наличие «XSS» / «CSRF» уязвимостей;
  • Попытки перехватить привилегированные аккаунты (или сессии таких аккаунтов);
  • Попытки произвести Remote File Inclusion / Local File Inclusion;
  • Поиск компонентов с известными уязвимостями;
  • Проверка на перенаправление на другие сайты и открытые редиректы;
  • Сканирование директорий и файлов, используя перебор и «google hack»;
  • Анализ поисковых форм, форм регистраций, форм авторизации и т.д.;
  • Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
  • Атаки класса «race condition»;
  • Внедрение XML-сущностей;
  • Подбор паролей.

Вся полученная в ходе аудита информация документируется и по завершению предоставляется заказчику.

Опционально, по согласованию с заказчиком в аудит могут входить деструктивные инструменты и методы для более реалистичного сходства с реальной угрозой извне.

По завершению аудита заказчику предоставляется подробный отчёт о полученных данных, имеющимся уязвимостям, а так же рекомендации по их устранению.

Вся полученная в ходе исследования информация хранится исключительно на зашифрованных носителях, что исключает риск утечки данных заказчика.