Одна из основных проблем, связанных с компрометацией веб-приложений, является недооцененность как самой атаки, так и ее последствий. Многие думают, что хакеров интересуют только крупные ресурсы вроде Google или Facebook, а условный интернет-магазин стройматериалов или автозапчастей хакеров совершенно не интересует. На самом деле все, что становится доступным в Интернете, может быть атаковано, вне зависимости от типа объекта: почтовый сервер, веб-сайт или IoT.

Вторая проблема — отсутствие информации о защищенности веб-ресурса (вернее, отсутствие информации о наличие уязвимостей). Не каждая компания может себе позволить заказать полноценный анализ защищенности веб-приложения, а многие разработчики игнорируют или просто не знают о лучших практиках безопасной разработки. Это приводит к появлению на сайте уязвимостей, и в конечном итоге — к его компрометации. Инъекции (SQLi, NoSQL, RCE и другие) занимают 1 место в списке OWASP Top 10 и часто являются основной причиной компрометации веб-приложения (персональных данных или другой пользовательской или конфиденциальной информации, заражение других посетителей сайта и т.д.).

Веб-приложение — любое клиент-северное приложение, основанное на работе протокола HTTP: сайты, интернет-магазины, порталы, API и т.д.

Не уделяя должного внимания безопасности веб-приложения, чаще всего об успешных атаках на ресурс администраторы узнают после того, как получают «письмо счастья» или скомпрометированные данные появляются в открытом доступе. Для компаний, желающих узнать, какие уязвимости содержат собственные веб-ресурсы, мы можем предложить провести бесплатный аудит в автоматическом режиме без ручной валидации обнаруженных недостатков. В процессе сканирования области сайта, доступные без авторизации, будут анализироваться на наличие следующих типов уязвимостей:

  • Injection (SQLi, RCE, XXE и т.д.);
  • LFI/RFI;
  • XSS, SSRF;
  • Open Redirects;
  • Доступ к исходному коду, архивам, файлам конфигураций и резервным копиям и другое.

Отправка заявки осуществляется через форму на странице waf.pentestit.ru/events/6337.