Практический аудит безопасности программного кода электронной торговой площадки

2 комментария

Наша компания НПО «Эшелон» недавно провела комплексный аудит информационной безопасности одной из ведущих электронных торговых площадок. Особеность данного аудита информационной безопасности заключалась в том, что он включал аудит безопасности исходных текстов программных ресурсов.

При этом самое серьезное внимание было уделено как тестированию, так и статическому анализу безопасности кода Web-приложений с целью выявления и анализа возможности реализации программных дефектов и уязвимостей безопасности. Конечно, код был проверен не только на SQL-инъекции, межсайтовый скриптинг и некорректности обработки входных данных в целом, но выявлялилсь также и константы с парольно-адресной информацией, корректность использования криптопримитивов, протоколов и внешних модулей, разумеется, не были оставлены без внимания архитектурные ошибки безопасности и виртуализации, наличие остаточной отладочной информации и многое другое.

Заметим, что в компании «Эшелон» накоплен исключительный опыт в области практического анализа исходного кода, проводимого в том числе в рамках сертификационных испытаний и тематических исследований программного обеспечения средств защиты информации разного уровня и программных приложений. Компания также поддерживает и развивает собственные инструментальные средства аудита безопасности кода и сетевой безопасности, в том числе сертифицированное средство статического и динамического анализа безопасности исходного кода —  АК-ВС (сертифицированное ФСТЭК России и Минобороны России).

 

 

Possibly Related Posts:


Рубрика: bugtracking, Аудит кода, Тестирование. Метки: , , , , , . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

2 Отзывов на «Практический аудит безопасности программного кода электронной торговой площадки»


  1. h0i

    при аудите используется своя методика или owasp?

  2. Александр Дорофеев

    Мы разработали свою методику, в части тестирования защищенности, конечно, опирались на материалы OWASP.