Практический аудит безопасности программного кода электронной торговой площадки
Наша компания НПО «Эшелон» недавно провела комплексный аудит информационной безопасности одной из ведущих электронных торговых площадок. Особеность данного аудита информационной безопасности заключалась в том, что он включал аудит безопасности исходных текстов программных ресурсов.
При этом самое серьезное внимание было уделено как тестированию, так и статическому анализу безопасности кода Web-приложений с целью выявления и анализа возможности реализации программных дефектов и уязвимостей безопасности. Конечно, код был проверен не только на SQL-инъекции, межсайтовый скриптинг и некорректности обработки входных данных в целом, но выявлялилсь также и константы с парольно-адресной информацией, корректность использования криптопримитивов, протоколов и внешних модулей, разумеется, не были оставлены без внимания архитектурные ошибки безопасности и виртуализации, наличие остаточной отладочной информации и многое другое.
Заметим, что в компании «Эшелон» накоплен исключительный опыт в области практического анализа исходного кода, проводимого в том числе в рамках сертификационных испытаний и тематических исследований программного обеспечения средств защиты информации разного уровня и программных приложений. Компания также поддерживает и развивает собственные инструментальные средства аудита безопасности кода и сетевой безопасности, в том числе сертифицированное средство статического и динамического анализа безопасности исходного кода — АК-ВС (сертифицированное ФСТЭК России и Минобороны России).
при аудите используется своя методика или owasp?
Мы разработали свою методику, в части тестирования защищенности, конечно, опирались на материалы OWASP.