Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты

Аудит безопасности сайта

Особо популярные Интернет-ресусры вызывают нездоровый интерес у злоумышленников. Как правило, это связано с мошенничеством и нечестным заработком. Чтобы минимизировать вероятность взлома, безопасность сайта должна удовлетворять всем современным требованиям, а сам сайт – обеспечивать безопасность всех посетителей.

На сегодняшний день существуют разные мероприятия, помогающие обезопасить сайты. При этом работоспособность сайта полностью сохраняется. Все работы, обеспечивающие безопасность веб сайтов, выполняются в скрытом режиме и не требуют остановок сайта по техническим причинам.

Профессиональные компьютерные фирмы гарантируют сохранение в тайне сведений об выявленных уязвимых местах и доступах к хостингу. По окончании работ предоставляется отчет, отражающий технические подробности. В будущем это помогает понять любому специалисту, какие меры были предприняты, и при необходимости продолжить дело.

Аудит безопасности сайта на уровне окружения и сервера заключается в следующем:

  • Определение потенциальных возможностей ssh/ ftp- брутфорса (взлом с помощью подбора пароля); при обнаружении уязвимостей – их исправление. Таким образом, улучшается защита от взлома сайта;
  • Файлы и директории для «сканирования по словарю» проверяются на доступность;
  • тестируются программы (серверные утилиты статистики, phpMyAdmin и т.д.) на уязвимость, в том числе и на взлом, при необходимости, выполняется устранение проблем;

 

  • Проводится проверка hotlink («лич», подкачка статического контента прочими сайтами) по логам, а также разрешение hotlink при ликвидации вероятностей «лич-атак», которые блокируют каналы. Выполняют анализ сайта на вирусы, при обнаружении которых проводят лечение сайта;
  • Установление слабых мест в плане атак, которые основаны на отказе в обслуживании. Обнаружение уязвимостей на предмет атак, связанных с перегрузкой процессора по причине дефектов серверного программного обеспечения.
  • Проверка распределения пространства на диске, использования процессора и памяти в отношении вероятности появления нештатных ситуаций. За счет проведения этих мероприятий улучшается защита сайта от вирусов.

 

Каждый пользователь должен помнить, вовремя выполненная проверка сайта на безопасность поможет в будущем избежать ненужных проблем. Проверить сайт на вирусы так же требуется в обязательном порядке.

Аудит на уровне интерактивных элементов, контента, движков и CMS:

  • тестирование движков в отношении брутфорса, при необходимости для усиления форм входа устанавливается мультинаборная captcha и отсекаются брутфорсящие ip;
  • установление уязвимостей на предмет атак из-за перегрузок процессора ресурсоемкими элементами движка (если во время аудита на уровне окружения и сервера установлены отдельные файлы движка и модули, доступные для сканирования, поводится проверка их уязвимых мест);
  • проверка слабых мест, которые основаны на удаленном инклуде;
  • анализ интерактивных элементов в отношении XSS;
  • тестирование интерактивных элементов на автофлуд, автоспам (безвзломные вредоносные действия), преднамеренной автоматизированной закачки больших объемов информации с использованием при этом интерактивных элементов, что приводит к полнейшему перерасходу пространства на диске;
  • закрытие e-mail адресов, публикуемых на форумах и сайтах, при помощи javascript-шифрования. Это делает их недосягаемыми для спам-ботов, занимающихся сбором адресов для рассылок;
  • проверка движка в отношении добавлений, предоставляющих контроль над сайтом (задние ходы, загрузчики, вебшеллы);
  • тестирование прав на директории и файлы.

Аудит по исключению «анти-SEO»:

  • Отслеживание в автоматическом режиме клонов phishing-типа (на доменах с региональной или национальной направленностью, подобных domen.spb.ru и у которых есть шансы подняться в поисковой системе в отдельном регионе высшее, чем оригинал), а также автоматические жалобы на эти клоны.
  • Определение вероятности размещения ссылок, имитаций загрузчиков вирусов или редиректов без взлома, а в случае обнаружения – отсечение этих возможностей. Поиск вируса на сайте и при необходимости лечение сайта от вирусов.
  • Отсечение вероятности заброса копий страниц в индекс с использованием неверных URL.
  • Анализ вероятности поднятия URL страниц, которые были «брошены», и заимствования контента этих страниц конкурирующей стороной в автоматизированном режиме.

В зависимости от ситуации могут быть применены и другие специфические меры. Но удаление вирусов с сайта выполняется в любом случае.