http://www.secblog.info |
Контактные данные
Контактные данные доступны только авторизованным пользователям. Дополнительная информация / Резюме
Здравствуйте! Я специализируюсь именно защите от атак, несанкционированного доступа, аудите безопасности веб-серверов и веб-приложений. Опят работы в этом направлении - 4 года. Опыт программирования PHP|PERL|C/C++|ASM - 7 лет. Анализ защищенности сервера можно разделить на 3 этапа - внешний, внутренний, анализ кода. 1. Внешний. Сканирование портов и доступных приложений, отвечающих по этим портам на уязвимости (проверяется версия ПО, происходит попытка применения известных уязвимостей для этого ПО); "атака на отказ" (DDoS) как сервера в целом, так и конкретного приложения. 2. Внутренний. Сканирование портов и системы "изнутри"; анализ ОС, политики обновлений, правил FireWall, запущенных сервисов. Анализ пользовательской среды, попытка "атаки изнутри" (внедрение root-kit, повышение привилегии, DoS) 3. Анализ кода. Анализ исходного кода приложений заказчика на предмет: защищенность переменных; возможность выполнения/внедрения внешнего кода; переполнения буфера/стека; бесконечных циклов (рекурсий). За каждым выполняемым пунктом следует отчет, содержащий: время анализа, объект анализа, тип анализа, примененные процедуры, результат и, по желанию, рекомендации по исправлению. Цена строится исходя из сложности сканируемой системы и "глубины сканирования". Поверхностное сканирование портов без применения известных уязвимостей и внешний анализ веб-приложения (вебформ и переменных на SQL-инъекции, XSS) стоит $130. Попытка применения уязвимостей и DDoS атака - 40 и 150 долларов соответственно. Почему такая цена? Для осуществления атаки необходимы значительные ресурсы, в том числе и распределенные. Внутренний анализ складывается из сложности системы (тип ОС, кол-во сервисов, пользовательская среда, приложения виртуализации, etc...). Стандартный набор - *nix/Apache/php/perl(python)/mysql/postfix(qmail,sendmail,etc...),ipfw (pf,iptables, etc...)/без локальных пользователей - $60 ($80 - ОС Windows 2000/2003). Кластерные системы и системы динамического распределения нагрузки $90 за каждый узел. Каждое дополнительное приложение $5. Анализ пользовательской среды - $30. Анализ исходного кода. Проверяются переменные, функции (в том числе и системные). Валидность кода на соответствие стандартам не производится. Только на возможность атаки. Анализ PHP/PERL кода $1.5/1000 строк, C/C++ - $3/1000. В качестве дополнительной услуги - рекомендации по оптимизации кода - цена аналогично анализа. Для осуществления аудита сервера от вас необходимо получить: 1. параметры доступа к серверу и параметры учетной записи с привилегиями супер пользователя (администратора в windows) 2. копию уведомления Вашего хостинг-провайдера (ISP) о том, что будет произведено сканирование Вашего сервера в определенный период с применением/без DDoS. И копию письма, что Ваш хостинг-провайдер (ISP) не возражает и не будет блокировать сегменты, атакующие Ваш сервер в определенный период. 3. Список/техническое задание с перечнем служб и задач, которые необходимо проверить. 4. Исходные коды приложений, которые необходимо проверить Сроки: Внешнее сканирование от 3-х до 5-ти дней. Внутреннее сканирование от 5-ти до 7-ми дней Анализ кода: 20 мин/1000 строк. ----------------------- Цена указана ориентировочная и может менять в большую или меньшую сторону. |
