Наименование
Black Box
120 000 ₽
заказать
Custom Box
180 000 ₽
заказать
White Box
680 000 ₽
заказать

Cравнение тарифных планов

Наименование
Black Box
заказать
Custom Box
заказать
White Box
заказать
120 000 ₽
180 000 ₽
680 000 ₽
Исследование, работы только по аудиту ИБ
Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг
Исследование безопасности ОС и ПО сервера на уровне черного ящика 10 000 ₽ Добавить 10 000 ₽ Добавить
Полноценное исследование безопасности сервера, его ОС и ПО.
75 000 ₽ Добавить
Поиск проблем безопасности кода сайта методом «черного ящика» 80 000 ₽ Добавить 80 000 ₽ Добавить 80 000 ₽ Добавить
Частичное исследование безопасности кода сайта
30 000 ₽ Добавить
Полное исследование безопасности абсолютного кода сайта
400 000 ₽ Добавить
Исследование безопасности сторонних компонентов кода сайта
10 000 ₽ Добавить 10 000 ₽ Добавить
Исследование безопасности (корректности) публикации сайта
10 000 ₽ Добавить 10 000 ₽ Добавить
Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг
Работы по устранению угроз ИБ сайта (дополнительные услуги)
Устранение проблем / угроз безопасности сервера (ОС / ПО)
10 000 ₽ Добавить
Устранение проблем / угроз безопасности кода (устранение уязвимостей)
10 000 ₽ Добавить
Устранение проблем / угроз безопасности, связанных с ошибками публикации сайта
750 000 ₽ Добавить
Перепроверка устранения уязвимостей по итоговому отчету 10 000 ₽ Добавить
Итого
* Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT»
** Услуга предоставляется при подключении подписки на услуги ситуационного центра, тариф «CERT+ADMIN».
Black Box
120 000 ₽
заказать
Custom Box
180 000 ₽
заказать
White Box
680 000 ₽
заказать
Black Box
120 000 ₽
Исследование, работы только по аудиту ИБ
Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг
Включено
Исследование безопасности ОС и ПО сервера на уровне чёрного ящика
Добавить
Полноценное исследование безопасности сервера, его ОСи ПО
Поиск проблем безопасности кода сайта методом «чёрного ящика»
400 000 ₽ Добавить
Частичное исследование безопасности кода сайта
Полное исследование безопасности абсолютного кода сайта
Исследование безопасности сторонних компонентов кода сайта
Исследование безопасности (корректности) публикации сайта
Определение уровня угрозы обнаруженных проблем ИБ (OWASP)
Исследование безопасности сторонних компонентов кода сайта
Включено
Работы по устранению угроз ИБ сайта (дополнительные услуги)
Устранение проблем / угроз безопасности сервера (ОС / ПО)
Устранение проблем / угроз безопасности кода (устранение уязвимостей)
Устранение проблем / угроз безопасности, связанных с ошибками публикации сайта
Перепроверка устранения уязвимостей по итоговому отчёту
400 000 ₽ Добавить
ДеталиСвернуть
Custom Box
160 000 ₽
Исследование, работы только по аудиту ИБ
Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг
Включено
Исследование безопасности ОС и ПО сервера на уровне чёрного ящика
Добавить
Полноценное исследование безопасности сервера, его ОСи ПО
Поиск проблем безопасности кода сайта методом «чёрного ящика»
400 000 ₽ Добавить
Частичное исследование безопасности кода сайта
Полное исследование безопасности абсолютного кода сайта
Исследование безопасности сторонних компонентов кода сайта
Исследование безопасности (корректности) публикации сайта
Определение уровня угрозы обнаруженных проблем ИБ (OWASP)
Исследование безопасности сторонних компонентов кода сайта
Включено
Работы по устранению угроз ИБ сайта (дополнительные услуги)
Устранение проблем / угроз безопасности сервера (ОС / ПО)
Устранение проблем / угроз безопасности кода (устранение уязвимостей)
Устранение проблем / угроз безопасности, связанных с ошибками публикации сайта
Перепроверка устранения уязвимостей по итоговому отчёту
400 000 ₽ Добавить
ДеталиСвернуть
White Box
160 000 ₽
Исследование, работы только по аудиту ИБ
Консультации, Разработка TЗ на аудит, помощь в выборе ТП, предложение по набору услуг
Включено
Исследование безопасности ОС и ПО сервера на уровне чёрного ящика
Добавить
Полноценное исследование безопасности сервера, его ОСи ПО
Поиск проблем безопасности кода сайта методом «чёрного ящика»
400 000 ₽ Добавить
Частичное исследование безопасности кода сайта
Полное исследование безопасности абсолютного кода сайта
Исследование безопасности сторонних компонентов кода сайта
Исследование безопасности (корректности) публикации сайта
Определение уровня угрозы обнаруженных проблем ИБ (OWASP)
Исследование безопасности сторонних компонентов кода сайта
Включено
Работы по устранению угроз ИБ сайта (дополнительные услуги)
Устранение проблем / угроз безопасности сервера (ОС / ПО)
Устранение проблем / угроз безопасности кода (устранение уязвимостей)
Устранение проблем / угроз безопасности, связанных с ошибками публикации сайта
Перепроверка устранения уязвимостей по итоговому отчёту
400 000 ₽ Добавить
ДеталиСвернуть

Описание
тарифных планов

«Black Box» — Чёрный ящик

Исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс… Исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс… Исследование ИБ сайта без предоставления учетных данных доступа. Исследование проводится по активному сайту, работающего в Сети Интернет. В ходе исследования моделируются разнообразные варианты, методики и способы взлома и атак на ресурс…

  • Быстрое и удобное управление контентом
  • Возможность расширения сайта за счёт новых модулей
  • Интеграция с 1С, CRM 1C-Битрикс24 и мобильным приложением
  • Подключение внешних сервисов: доставки, оплат, уведомлений и статистики.
заказать
от 120 000 .-

Тематические кейсы

Сайт
shop.lenovo.ru
Отрасль
Электроника
Тип проекта
Интернет-торговля
Класс продукта
Адаптивный интернет-магазин на 1С-Битрикс
Сайт
crm2you.ru
Отрасль
Облачные CRM-cистемы
Тип проекта
Аналитика, статьи рейтинги
Класс продукта
Информационно- аналитический портал
Отрасль
Интернет-торговля
Тип проекта
Продажа бижутерии
Класс продукта
Интернет-магазин на 1С-Битрикс
Отрасль
Медицинские услуги
Тип проекта
Продажа медицинских услуг
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
bpr.su
Отрасль
Сетевое специализированное оборудование
Тип проекта
Интернет-торговля
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
kraftmarket.ru
Отрасль
Производство, полиграфия
Тип проекта
Интернет-торговля
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
unikma.ru
Отрасль
Кровельные системы, фасады
Тип проекта
Интернет-торговля
Класс продукта
Адаптивный интернет- магазин на CMS 1С-Битрикс
Сайт
app2you.ru
Отрасль
Мобильные приложения
Тип проекта
Продажа готовых мобильных приложений
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
berator.ru
Отрасль
Бухгалтерия
Тип проекта
Онлайн-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
buhgalteria.ru
Отрасль
Бухгалтерия
Тип проекта
Онлайн-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
tass.ru
Отрасль
Информационное агенство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
mircli.ru
Отрасль
Туризм
Тип проекта
Online-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
podarki-tut.ru
Отрасль
Информационное агенство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
auto-legion.ru
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
krndr.sa.ru
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
akson.ru
Отрасль
Товары для дома
Тип проекта
Интернет-торговля
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
krd.koleso.ru
Отрасль
Транспортная компания
Тип проекта
Интернет-торговля
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
mirm.ru
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
jazz-shop.ru
Отрасль
Бухгалтерия
Тип проекта
Онлайн-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
seedpost.ru
Отрасль
Бухгалтерия
Тип проекта
Онлайн-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
meteo-tv.ru
Отрасль
Бухгалтерия
Тип проекта
Онлайн-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
101hotels.com
Отрасль
Бухгалтерия
Тип проекта
Онлайн-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
im-media.ru
Отрасль
Информационное агенство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
im-media.ru
Отрасль
Информационное агенство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
pudov.ru
Отрасль
Туризм
Тип проекта
Online-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
kadam.net
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
krndr.sa.ru
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
baikalsr.ru
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
adrenalin.ru
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
semenapost.ru
Отрасль
Информационное агентство
Тип проекта
Новостной сайт
Класс продукта
Интернет-магазин на 1С-Битрикс
Сайт
lazalka.ru
Отрасль
Бухгалтерия
Тип проекта
Онлайн-бронь
Класс продукта
Интернет-магазин на 1С-Битрикс

Исследуемые угрозы безопасности

RCE — Remote code execution
Показываем перевод или доп. инфу при тапе.
PHP инъекции
Показываем перевод или доп. инфу при тапе.
Инъекции в LDAP
Показываем перевод или доп. инфу при тапе.
CRLF выполнение несанкционированных команд в системе, атака в заголовки (header)
Показываем перевод или доп. инфу при тапе.
Local File Include (LFI)
Показываем перевод или доп. инфу при тапе.
SSRF
Показываем перевод или доп. инфу при тапе.
XSS
Показываем перевод или доп. инфу при тапе.
Authentication and Session Management Bypass
Показываем перевод или доп. инфу при тапе.
Удалённое включение файла
Показываем перевод или доп. инфу при тапе.
CSRF
Показываем перевод или доп. инфу при тапе.
File Upload
Показываем перевод или доп. инфу при тапе.
Нестандартные техники и методы взлома и атак
Показываем перевод или доп. инфу при тапе.
Комбинированные техники и методы взлома и атак
Показываем перевод или доп. инфу при тапе.
Ошибки выполнения скриптов, публикация системных ошибок
Показываем перевод или доп. инфу при тапе.
Directory traversal attack
Показываем перевод или доп. инфу при тапе.
Исследование сайтов на уязвимости
Показываем перевод или доп. инфу при тапе.

Классификация угроз безопасности
для всех тарифных планов

Уровень угроз обнаруженных угроз безопасности определяется в соответствии с классификациями OWASP Top Ten Project 2017 RCиCWE/SANS Top 25 Most Dangerous Software Errors

Для сайтов, работающих под управлением CMS «1С-Битрикс», нами разработан собственный классификатор TOP12 угроз, который также может быть отражен в итоговом отчете по результатам сайта.

Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
СSRF атаки
межсайтовая подделка запроса
Уровень угрозы
Высокий
Баллы
3–10
Уязвимость / Атака / Техника взлома Уровень угрозы Баллы
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Критический
10
SQL инъекции всех типов
Внедрение произвольного кода в SQL запрос
Критический
10
PHP инъекции
Инъекция в PHP код сайта
Критический
10
Выполнение удалённого кода на сервере «черного ящика»
Внедрение произвольного кода в SQL запрос
Критический
10
RFI - Remote File Include
Включение удаленного файла в код сайта
Критический
10
LFI - Local File Include
Подключение чтение локального файла на сервере
Критический
10
Хранимые XSS атаки
Межсайтовый скриптинг
Критический
10
Отраженные XSS атаки
Межсайтовый скриптинг
Высокий
10
СSRF атаки
межсайтовая подделка запроса
Высокий
10

Ошибки разработки и публикации сайта

Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома
Authentication Bypass
Обход аутентификации, несанкционированный доступ
Уровень угрозы
Критический
Баллы
10
Уязвимость / Атака / Техника взлома Уровень угрозы Баллы
Authentication Bypass
Критический
10
SQL инъекции всех типов
Критический
10
PHP инъекции
Критический
10

Методы обнаружения угроз безопасности

В рамках проведения исследований, не ставиться задача по обходу или нейтрализации модуля «Проактивная защита» 1С-Битрикс, равно как и иных способов защиты сайта.

Симуляция хакерских атак

Методы обнаружения уязвимостей в рамках исследований, предлагаемых в тарифных планах «Black Box» и «Custom Box» полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.

Исследование проводится по активному сайту, работающему в Сети Интернет, либо по предложенной dev версии сайта, что позволяет максимально полно оценить уровень безопасности ресурса.

Симуляция хакерских атак 2

Методы обнаружения уязвимостей в рамках исследований, предлагаемых в тарифных планах «Black Box» и «Custom Box» полностью соответствуют настоящим хакерским атакам и методикам взлома, при этом не представляя для сайта никакой угрозы.

Исследование проводится по активному сайту, работающему в Сети Интернет, либо по предложенной dev версии сайта, что позволяет максимально полно оценить уровень безопасности ресурса.

Подтверждение эксплуатационных качеств обнаруженных угроз

Все обнаруженные уязвимости сайта подтверждаются фактом обнаружения, с примерами эксплуатации, без деструктивных последствий для работы сайта.

  • 01
    Любые инъекции (SQL, XPath) или инклуды (RFI, LFI)
    Подтверждаются фактомналичия, с практической безопасной эксплуатации уязвимости.
  • 02
    Инъекции в БД
    Подтверждаются фактом получения имени БД, имена таблиц, чтение выборочных данных из БД. Инклуды (RFI, LFI) подтверждаются операциями с файлами, в зависимости от типа угрозы.
  • 03
    Уязвимости типа RCE - Remote code execution (удаленное выполнение кода на сервере)
    Подтверждаются PHP кодом < ? phpinfo(); ? >, либо любым другим безвредным кодом.
  • 04
    Уязвимости типа XSS - Сross Site Sсriрting (межсайтовый скриптинг)
    Подтверждаются JS кодом <script>alert(‘XSS’);</script>,либо любым другим безвредным кодом, без эксплуатации атаки.
  • 05
    Уязвимости типа CSRF - Сross Site Request Forgery (межсайтовая подделка запроса)
    Подтверждаются фактическими признаками наличия уязвимости, без практической эксплуатации атаки. В случаях, когда угроза CSRF является критической для ИБ сайта, атака подтверждается выполнением безопасного эксплуатационного скрипта.

Тематический кейс KPMG

Описание кейса

В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.

Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками.

Главные цели

В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.

Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками.

Результаты

В 2017 году появился спрос на услугу следующего содержания: Заказчиком услуги является разработчик интернет проекта (сервиса), который он в дальнейшем продает своему клиенту. Без стороннего аудита ИБ, или проведения исследования ИБ собственными силами, клиент не принимает (покупает) продукта.

Для заказчика услуги важен аудит ИБ интернет-проекта в виде совместной работы специалиста по безопасности с его разработчиками.

Клиенты о нас

Наши компетенции (Seo)

Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах Мы сделали плагин, который подсчитывает количество символов и слов в тексте в режиме онлайн, причём отдельно отображается количество символов с пробелами и без пробелов. Такими автоматическими формами пользуются множество людей, в их числе и контент-менеджер нашей компании. Теперь он перестал пользоваться чужими решениями, тем самым подольше остаётся на нашем сайте и поменьше находится на сторонних ресурсах