Специально предложение распространяется на следующие виды пентестов: «Внутреннее тестирование на проникновение», «Социотехническое тестирование» и «Тестирование на проникновение веб-ресурсов».
Воспользуйтесь специальным предложением, пройдите комплексную проверку, найдите уязвимости раньше злоумышленников.
УСЛОВИЯ АКЦИИ
Срок проведения: 25 марта – 20 мая 2025
СОСТАВ И СОДЕРЖАНИЕ РАБОТ
Внутреннее тестирование на проникновение: порядок выполнения и состав этапов внутреннего тестирования на проникновение будет соответствовать следующему алгоритму:
В ходе работ специалист не будет производить преднамеренных атак на отказ в обслуживании. Результатом выполнения данного этапа будет раздел отчета с описанием результатов проведения внутреннего тестирования на проникновение.
Социотехническое тестирование: порядок выполнения и состав этапов работ будет соответствовать следующему алгоритму:
Тестирование на проникновение веб-ресурсов: порядок выполнения и состав этапов тестирования на проникновения веб-ресурсов будет соответствовать следующему алгоритму:
В ходе работ специалист не производит эксплуатацию выявленных уязвимостей, направленных на отказ в обслуживании.
Автоматизированные работы (сканирование) по согласованию с Заказчиком могут проводиться в нерабочее время.
Результатом работ считается раздел отчета по результатам тестирования на проникновение веб-периметра.
Подробнее об условиях и всех ограничениях акции здесь.
Оставить заявку
Воспользуйтесь специальным предложением, пройдите комплексную проверку, найдите уязвимости раньше злоумышленников.
УСЛОВИЯ АКЦИИ
Срок проведения: 25 марта – 20 мая 2025
- Все работы по внешнему и внутреннему пентесту ведутся удаленно
- Только для заказчиков без действующего КП на пентесты до 20.05.2025
- От 20 узлов в области исследования
- В Акции не участвуют запросы на исследование сегмента АСУ ТП.
- Каждый Участник акции может выбрать несколько видов тестирования на проникновение, в этом случае скида будет рассчитываться от общей стоимости, выбранных услуг.
- Важно! Специальное предложение действительно на работы в марте/ июне 2025 года при заключении договора до 20.05.2025 года.
СОСТАВ И СОДЕРЖАНИЕ РАБОТ
Внутреннее тестирование на проникновение: порядок выполнения и состав этапов внутреннего тестирования на проникновение будет соответствовать следующему алгоритму:
- Пассивный сбор информации о подсети;
- Перехват и анализ сетевого трафика;
- Проведение сетевых атак;
- Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации;
- Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования);
- Эксплуатация уязвимостей;
- Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра;
- Восстановление хеш-суммы паролей по словарю;
- Анализ Active Directory;
- Боковое перемещение (Lateral Movement) и повышение привилегий;
- Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа Заказчика;
- Производится проверка прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования;
- Подготовка отчета по результатам тестирования.
В ходе работ специалист не будет производить преднамеренных атак на отказ в обслуживании. Результатом выполнения данного этапа будет раздел отчета с описанием результатов проведения внутреннего тестирования на проникновение.
Социотехническое тестирование: порядок выполнения и состав этапов работ будет соответствовать следующему алгоритму:
- Согласование с Заказчиком почтовых адресов для рассылки;
- Согласование с Заказчиком формы и содержания электронных писем для почтовой рассылки;
- Согласование с Заказчиком телефонных номеров для обзвона;
- Поиск в сети Интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.);
- Почтовые рассылки с имитацией вредоносного вложения;
- Почтовые рассылки с имитацией вредоносной ссылки;
- Почтовые рассылки с имитацией вредоносного офисного документа;
- Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации;
- Подготовка отчета по результатам тестирования;
- Результатом выполнения работ является отчет по результатам проведения социотехнического тестирования.
Тестирование на проникновение веб-ресурсов: порядок выполнения и состав этапов тестирования на проникновения веб-ресурсов будет соответствовать следующему алгоритму:
- Получение информации от Заказчика о тестируемых ресурсах;
- Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю;
- Анализ веб-приложения от имени аутентифицированного пользователя;
- Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств: Acunetix AWVS, BurpSuite Pro, Nessus;
- Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.);
- Ручная проверка проходит по методологии OWASP, но не ограничивается ею. Проверка включает в себя следующие категории: ошибки контроля доступа, криптографические сбои, инъекции, неправильные конфигурации, уязвимые и устаревшие компоненты, ошибки идентификации и аутентификации, ошибки целостности программного обеспечения и данных, регистрация безопасности и мониторинг сбоев, подделка запросов на стороне сервера. А также прочие атаки, целью которых является выполнение кода на стороне сервера;
- Подбор паролей пользователей веб-приложения;
- Осуществление эксплуатации ряда наиболее критичных уязвимостей проводится по согласованию с Заказчиком;
- Подготовка отчета по результатам тестирования.
В ходе работ специалист не производит эксплуатацию выявленных уязвимостей, направленных на отказ в обслуживании.
Автоматизированные работы (сканирование) по согласованию с Заказчиком могут проводиться в нерабочее время.
Результатом работ считается раздел отчета по результатам тестирования на проникновение веб-периметра.
Подробнее об условиях и всех ограничениях акции здесь.
Оставить заявку