Специальное предложение распространяется на следующие виды пентестов:
«Внутреннее тестирование на проникновение»,
«Социотехническое тестирование»,
«Тестирование на проникновение веб-ресурсов».
Воспользуйтесь специальным предложением, пройдите комплексную проверку, найдите уязвимости раньше злоумышленников.
УСЛОВИЯ АКЦИИ
Срок проведения: 25 марта – 20 мая 2025
Все работы по внешнему и внутреннему пентесту ведутся удаленно
Только для заказчиков без действующего КП на пентесты до 20.05.2025
От 20 узлов в области исследования
В Акции не участвуют запросы на исследование сегмента АСУ ТП.
Каждый Участник акции может выбрать несколько видов тестирования на проникновение, в этом случае скида будет рассчитываться от общей стоимости, выбранных услуг.
Важно! Специальное предложение действительно на работы в марте/ июне 2025 года при заключении договора до 20.05.2025 года.
СОСТАВ И СОДЕРЖАНИЕ РАБОТ
Внутреннее тестирование на проникновение:порядок выполнения и состав этапов внутреннего тестирования на проникновение будет соответствовать следующему алгоритму:
Пассивный сбор информации о подсети;
Перехват и анализ сетевого трафика;
Проведение сетевых атак;
Сканирование узлов, доступных из пользовательского сегмента ЛВС, сбор информации об открытых портах, определение типов устройств, анализ сетевой сегментации;
Проведение сканирования на наличие уязвимостей (если это возможно по условию внутреннего тестирования);
Эксплуатация уязвимостей;
Восстановление паролей и хеш-суммы паролей из оперативной памяти и реестра;
Восстановление хеш-суммы паролей по словарю;
Анализ Active Directory;
Боковое перемещение (Lateral Movement) и повышение привилегий;
Проверка возможности получения доступа к конфиденциальной информации и (или) информации ограниченного доступа Заказчика;
Производится проверка прав доступа к различным информационным ресурсам Заказчика с привилегиями, полученными на различных этапах тестирования;
Подготовка отчета по результатам тестирования.
В ходе работ специалист не будет производить преднамеренных атак на отказ в обслуживании. Результатом выполнения данного этапа будет раздел отчета с описанием результатов проведения внутреннего тестирования на проникновение.
Социотехническое тестирование: порядок выполнения и состав этапов работ будет соответствовать следующему алгоритму:
Согласование с Заказчиком почтовых адресов для рассылки;
Согласование с Заказчиком формы и содержания электронных писем для почтовой рассылки;
Согласование с Заказчиком телефонных номеров для обзвона;
Поиск в сети Интернет сведений, часто используемых при атаках (утечки данных, несанкционированное использование учетных записей и т.д.);
Почтовые рассылки с имитацией вредоносного вложения;
Почтовые рассылки с имитацией вредоносной ссылки;
Почтовые рассылки с имитацией вредоносного офисного документа;
Целевое общение с сотрудниками по телефону (корпоративному) с целью получения конфиденциальной информации;
Подготовка отчета по результатам тестирования;
Результатом выполнения работ является отчет по результатам проведения социотехнического тестирования.
Тестирование на проникновение веб-ресурсов: порядок выполнения и состав этапов тестирования на проникновения веб-ресурсов будет соответствовать следующему алгоритму:
Получение информации от Заказчика о тестируемых ресурсах;
Получение предварительной информации о веб-ресурсе на основе источников информации, доступных потенциальному нарушителю;
Анализ веб-приложения от имени аутентифицированного пользователя;
Автоматизированное сканирование на наличие веб-уязвимостей с использованием зарекомендовавших себя инструментальных средств: Acunetix AWVS, BurpSuite Pro, Nessus;
Ручная верификация и анализ результатов инструментального сканирования, проверка соответствия конфигурации веб-приложения рекомендациям по безопасной настройке программного обеспечения (CMS, фреймворков, веб-сервера, сервера приложений и т.п.);
Ручная проверка проходит по методологии OWASP, но не ограничивается ею. Проверка включает в себя следующие категории: ошибки контроля доступа, криптографические сбои, инъекции, неправильные конфигурации, уязвимые и устаревшие компоненты, ошибки идентификации и аутентификации, ошибки целостности программного обеспечения и данных, регистрация безопасности и мониторинг сбоев, подделка запросов на стороне сервера. А также прочие атаки, целью которых является выполнение кода на стороне сервера;
Подбор паролей пользователей веб-приложения;
Осуществление эксплуатации ряда наиболее критичных уязвимостей проводится по согласованию с Заказчиком;
Подготовка отчета по результатам тестирования.
В ходе работ специалист не производит эксплуатацию выявленных уязвимостей, направленных на отказ в обслуживании. Автоматизированные работы (сканирование) по согласованию с Заказчиком могут проводиться в нерабочее время. Результатом работ считается раздел отчета по результатам тестирования на проникновение веб-периметра.
Подробнее об условиях и всех ограничениях акции здесь.