Main > Services
|
Are you sure of the reliability of your protection? What saves your website and applications from hacking? How long have you been diagnosing your web resources? ISAWT offers original information security solutions. Simulating the actions of an external attacker to identify weaknesses and eliminate critical vulnerabilities is a keystone of the ISAWT security concept. Think like a criminal and be one step ahead.
|
SQL Injection Scan
| SQL injection is one of the most common ways of hacking websites, software and applications that run on databases, based on the insertion of arbitrary SQL code in a query. |
|
|
ISAWT secures your web resource from potential hacking by identifying, analyzing and eliminating critical SQL vulnerabilities. |
| The SQL injection gives an access to various types of databases (MySQL, MSSQL, MSAccess, Oracle, DB2, PostgreSQL) and an opportunity to read the contents of any tables, to delete, edit or add data, to read and / or create local files and execute arbitrary commands on the attacked server. |
| SQL injection is one of the most common ways of hacking websites, software and applications that run on databases, based on the insertion of arbitrary SQL code in a query. |
|
|
| The SQL injection gives an access to various types of databases (MySQL, MSSQL, MSAccess, Oracle, DB2, PostgreSQL) and an opportunity to read the contents of any tables, to delete, edit or add data, to read and / or create local files and execute arbitrary commands on the attacked server. |
|
|
| ISAWT secures your web resource from potential hacking by identifying, analyzing and eliminating critical SQL vulnerabilities. |
| 'Face to Face' Pack | Руб. | $ | € | Request |
|
1 site / 1 scan |
5 699р | $86 | €74 | Send request |
|
1 site / 4 scans |
21 420р (5355р/scan) |
$326 ($81.5/scan) |
€280 (€70/scan) |
Send request |
|
1 site / 12 scans |
63 588р (5299р/scan) |
$969 ($80.8/scan) |
€834 (€69.5/scan) |
Send request |
| 'Triplet' Pack | Руб. | $ | € | Request |
|
3 sites / 1 scan |
16 065р (5355р/scan) |
$244 ($81.3/scan) |
€210 (€70/scan) |
Send request |
|
3 sites / 4 scans |
62 388р (5199р/scan) |
$951 ($79.3/scan) |
€818 (€68.2/scan) |
Send request |
|
3 sites / 12 scans |
176 220р (4895р/scan) |
$2 686 ($74.6/scan) |
€2 311 (€64.2/scan) |
Send request |
| 'Family' Pack | Руб. | $ | € | Request |
|
5 sites / 1 scan |
26 495р (5299р/scan) |
$403 ($80.6/scan) |
€347 (€69.4/scan) |
Send request |
|
5 sites / 4 scans |
99 980р (4999р/scan) |
$1 524 ($76.2/scan) |
€1 311 (€65.6/scan) |
Send request |
|
5 sites / 12 scans |
269 700р (4495р/scan) |
$4 111 ($68.5/scan) |
€3 537 (€59/scan) |
Send request |
Security Strategy Development (Подробнее
)
)
|
|
|
|
Что такое «Разработка стратегии защиты»? Основой услуги «Разработка стратегии защиты» является сочетание автоматизированного и ручного статического анализа программного кода. Для чего необходима «Разработка стратегии защиты»? В ходе выполнения анализа выставляются отметки (якоря) внутри программной сессии проекта, где были обнаружены уязвимости. Уязвимости сортируются по видам и типам, составляется карта зависимостей уязвимостей друг от друга, определяется уровень критичности и возможные последствия, к которым могут привести найденные уязвимости. Итогом разработки стратегии защиты являются: структурированные данных о найденных уязвимостях, рекомендации по их устранению, общее резюме о структуре программного кода внутри проекта, а также предложения по его модификации и оптимизации. |
|
Статический анализ кода (англ. static code analysis) — анализ программного обеспечения, производимый (в отличие от
динамического анализа) без реального выполнения исследуемой программы. В зависимости от используемого инструмента глубина анализа может варьироваться от определения поведения отдельных операторов до анализа, включающего весь имеющийся исходный код (для выявления всех возможных изъянов безопасности веб-ресурса необходим анализ ВСЕГО программного кода). Способы использования полученной в ходе анализа информации также различны — от выявления мест, возможно содержащих ошибки, до формальных методов, позволяющих математически доказать какие-либо свойства уязвимостей и их зависимостей. |
Каким образом проводится разработка стратегии защиты?
Разработка стратегии защиты начинается с предпроектного планирования, которое включает:
• сбор всех программных, конфигурационных и лог файлов веб-ресурса;
• формирование каталога файлов/объектов для проведения ручного статического анализа с элементами автоматизации;
• вариативный расчет стоимости оказания услуги;
• определение сроков выполнения статического анализа.
Предпроектное планирование производится в срок от 2-х до 7-ми дней (в зависимости от масштабности проекта) по предварительной оплате.
Для проведения предпроектного планирования заказчик предоставляет:
1. Доступ к файловой системе веб-ресурса (web-менеджер, ftp). Возможен вариант получения архива с файлами веб-ресурса, но в этом случае будут наложены некоторые ограничения, которые могут повлиять на скорость решения определенных задач в процессе аудита. Поэтому, доступ к файловой системе через менеджер предпочтителен.
2. Доступ к структуре базы данных (phpmyadmin предпочтителен).
3. Доступ к настройкам веб-сервера, обслуживающего веб-ресурс (cpanel, isp-manager или другой вариант web-версии админ панели хостинга).
4. Онлайн-связь (текстовая) любым удобным способом для возможности отправки уведомлений в процессе проведения аудита безопасности, а также решения возникающих вопросов.
После согласования плана проекта проводится непосредственное исследование проекта в 3 этапа:
Разработка стратегии защиты начинается с предпроектного планирования, которое включает:
• сбор всех программных, конфигурационных и лог файлов веб-ресурса;
• формирование каталога файлов/объектов для проведения ручного статического анализа с элементами автоматизации;
• вариативный расчет стоимости оказания услуги;
• определение сроков выполнения статического анализа.
Предпроектное планирование производится в срок от 2-х до 7-ми дней (в зависимости от масштабности проекта) по предварительной оплате.
Для проведения предпроектного планирования заказчик предоставляет:
1. Доступ к файловой системе веб-ресурса (web-менеджер, ftp). Возможен вариант получения архива с файлами веб-ресурса, но в этом случае будут наложены некоторые ограничения, которые могут повлиять на скорость решения определенных задач в процессе аудита. Поэтому, доступ к файловой системе через менеджер предпочтителен.
2. Доступ к структуре базы данных (phpmyadmin предпочтителен).
3. Доступ к настройкам веб-сервера, обслуживающего веб-ресурс (cpanel, isp-manager или другой вариант web-версии админ панели хостинга).
4. Онлайн-связь (текстовая) любым удобным способом для возможности отправки уведомлений в процессе проведения аудита безопасности, а также решения возникающих вопросов.
После согласования плана проекта проводится непосредственное исследование проекта в 3 этапа:
| Этап |
Статический анализ кода |
Анализ уязвимостей |
Стратегия защиты |
| Время* | От 2 недель | От 3 недель | От 2 недель |
| Цель | Анализ программного кода для выявления имеющихся потенциальных и действующих уязвимостей. | Описание, определение видов и анализ уровня критичности уязвимостей из Отчета №1, сформированного на этапе «Статический анализ кода». | Формирование перечня рекомендаций по устранению выявленных уязвимостей, а также предложения по возможной модификации программного кода проекта. |
| Выполнение |
1. Анализ index-файла, на основании которого
составляется начальная логика работы веб-
ресурса.
2. Извлечение файлов всех подключаемых модулей. 3. Проверка входных данных от пользователя (суперглобальные массивы $_GET, $_POST, $_COOKIE, $_REQUEST, $_GLOBALS) 4. Анализ логических конструкций программного кода. 5. Ручной поиск уязвимостей программного кода во всех приоритетных программных файлах. 6. Анализ программного кода всех подключенных модулей с которыми производятся действия из пунктов 3-6. |
1. Подробный анализ обнаруженных
уязвимостей.
2. Определение вида уязвимостей (потенциальная/действующая), уровня их критичности (5 уровней от низкого до критического) и возможных последствий, к которым могут привести найденные уязвимости. 3. Составление карты зависимости уязвимостей друг от друга. |
1. Общее резюме о структуре программного
кода проекта.
2. Разработка методов устранения выявленных уязвимостей. 3. Рекомендации, образующие цепочки действий по нейтрализации найденных уязвимостей, а также методы полной реструктуризации уязвимых участков программного кода и создание иных безопасных альтернативных вариантов исполнения функционала, требующего такой переработки (если такие методы имеют место быть). |
| Результат | Отчет №1, содержащий список потенциально уязвимых структур внутри файлов/объектов с определением их типов, а так же зависимых связей без подробного исследования и описания потенциальных и действующих уязвимостей. |
Отчет №2, содержащий:
1. структурированные данные о найденных уязвимостях; 2. оценка уровня их критичности; 3. карта уязвимостей и их зависимостей друг от друга; 4. список программных файлов, имеющих зависимости с найденными уязвимостями. |
Протокол разработанной стратегии защиты
(Отчет №3), в котором содержатся:
1. резюме о структуре программного кода проекта; 2. рекомендации по устранению выявленных уязвимостей; 3. предложения по модификации и оптимизации безопасности программного кода. |
* Реальная продолжительность каждого этапа устанавливается в зависимости от масштабности исследуемого ресурса.
** Этапы «Статический анализ кода» и «Анализ уязвимостей» проводятся параллельно друг другу. Отчеты по данным этапам предоставляются вместе, в установленные договором сроки.
** Этапы «Статический анализ кода» и «Анализ уязвимостей» проводятся параллельно друг другу. Отчеты по данным этапам предоставляются вместе, в установленные договором сроки.
| Based on the Scan Protocol, which is compiled by Analyzers in an automatic mode, our specialists build an individual security strategy in accordance with the tasks of the web resource. At all stages of developing the security strategy, close interaction with the representative of the web resource owner is necessary. |
|
|
| The web resource owner can independently develop the security strategy based on the Scan Protocol. In this case, ISAWT is not responsible for the reliability and effectiveness of the selected methods of vulnerability elimination. The ultimate target of the strategy is to eliminate all identified vulnerabilities. |
| Security Strategy Development | Руб. | $ | € | Request |
| 1 site | from 120 000р | from $1830 | from €1570 | Send request |
| 3 sites |
from 330 000р (from 110000р/site) |
from $5030 (from $1680/site) |
from €4330 (from €1440/site) |
Send request |
| 5 sites |
from 500 000р (from 100000р/site) |
from $7620 (from $1520/site) |
from €6560 (from €1310/site) |
Send request |
Security Strategy Integration
| In accordance with the developed security strategy, in close cooperation with the representative of the web resource owner, our specialists eliminate all identified vulnerabilities thereby secure your information from potential hacking. |
|
However, the web resource owner can independently eliminate the vulnerabilities identified by scanning. In this case, ISAWT is not responsible for the reliability and effectiveness of the selected methods of vulnerability elimination. |
| In accordance with the developed security strategy, in close cooperation with the representative of the web resource owner, our specialists eliminate all identified vulnerabilities thereby secure your information from potential hacking. |
|
|
| However, the web resource owner can independently eliminate the vulnerabilities identified by scanning. In this case, ISAWT is not responsible for the reliability and effectiveness of the selected methods of vulnerability elimination. |
| Security Strategy Integration | Руб. | $ | € | Request |
| 1 site | from 200 000р | from $3050 | from €2620 | Send request |
| 3 sites |
from 540 000р (from 180000р/site) |
from $8230 (from $2740/site) |
from €7080 (from €2360/site) |
Send request |
| 5 sites |
from 800 000р (from 160000р/site) |
from $12200 (from $2440/site) |
from €10490 (from €2100/site) |
Send request |
Code Injection Interceptor
| Interceptor is small but effective software for tracking changes in a code of a web resource up to one symbol. |
|
Interceptor monitors attempts to inject a foreign code and, in case of any attack, blocks the resource. The interceptor notification system immediately informs the owner about the entry attempt, as well as an activation code for unlocking the web resource. The web resource can be blocked automatically or by the owner's command. The functions are controlled in personal account on the website. |
| Interceptor is small but effective software for tracking changes in a code of a web resource up to one symbol. |
|
|
| Interceptor monitors attempts to inject a foreign code and, in case of any attack, blocks the resource. The interceptor notification system immediately informs the owner about the entry attempt, as well as an activation code for unlocking the web resource. The web resource can be blocked automatically or by the owner's command. The functions are controlled in personal account on the website. |
| Code Injection Interceptor | Руб. | $ | € | Request |
| 1 licence | 2 000р | $30 | €26 | Send request |
| 3 licenses |
5 600р (1867р/license) |
$85 ($28.3/license) |
€73 (€24.3/license) |
Send request |
| 5 licenses |
8 500р (1700р/license) |
$129 ($25.8/license) |
€111 (€22.2/license) |
Send request |