Ankstesnis ISO 27001 / SOC 2 Kitas vCISO

Įsilaužimo testavimas

Nuolatinis išorinis svetainės ir infrastruktūros saugumo testavimas — integruotas. Jokių trečiųjų šalių skenerio paskyrų, jokio duomenų dalijimosi, jokio diegimo. Įveskite domeną, spustelėkite Skenuoti, gaukite prioritetinę saugumo ataskaitą.

Aiškus jūsų saugumo padėties vaizdas

Tikriname jūsų viešai pasiekiamą infrastruktūrą taip, kaip tą darytų užpuolikas, ir pateikiame aiškų reitinguotą sąrašą, ką taisyti. Kiekvienas pažeidžiamumas pateikiamas su konkrečiais įrodymais, sunkumo balu ir žingsniniais sprendimo nurodymais.

01

Tiesioginis saugumo balas

Tiesioginis saugumo padėties balas, atnaujinamas su kiekvienu skenavimu, suteikia visada aktualų jūsų pažeidžiamumo vaizdą.

02

Sunkumo reitingavimas

Pažeidžiamumai pagal Kritinį, Aukštą, Vidutinį, Žemą, Informacinį lygius — žinote, ką tvarkyti pirmiausia.

03

Aiškūs paaiškinimai

Aiškūs kiekvieno pažeidžiamumo paaiškinimai ir kaip juos pataisyti — jokio žargono, jokio spėliojimo dėl sprendimo žingsnių.

04

AI vadovybės santrauka

AI sugeneruota santrauka, tinkama suinteresuotosioms šalims ir valdybos ataskaitoms — techniniai pažeidžiamumai išversti į verslo kalbą.

05

Auditui paruoštos PDF ataskaitos

Eksportuojamos PDF ataskaitos su pažeidžiamumų įrodymais ir sprendimo būsena — būtent tai, ko tikisi auditorius ar atitikties peržiūra.

06

Skenavimų palyginimai

Vienas šalia kito skenavimų palyginimai, kad galėtumėte įrodyti pažangą laikui bėgant — kas pataisyta, kas naujo, kas regresavo.

07

Sprendimo darbo procesas

Integruotas sprendimo darbo procesas, kad galėtumėte stebėti, kas ką pataisė ir kada, su pastabomis ir sprendimo datomis auditui.

Ką tikriname

Aprėptis plečiasi pagal skenavimo gylį — Pasyvus skaito be zondavimo, Aktyvus prideda atakos paviršiaus išvardijimą, Gilus prideda išsamią šifrų ir injekcijų analizę.

Domeno ir DNS sveikata

Registracija, vardų serveriai, SPF/DKIM/DMARC el. pašto saugumas ir sertifikatų institucijos užrakinimas.

Tinklo pažeidžiamumai

Atviri prievadai, atviri servisai ir reklaminiai pranešimai, atskleidžiantys versijos ir konfigūracijos informaciją užpuolikams.

TLS ir šifravimas

Sertifikatų galiojimas, silpni protokolai, šifravimo paketų silpnybės ir HSTS padėtis visuose galiniuose taškuose.

Saugumo antraštės

HSTS, CSP, frame-options, content-type-options ir visas HTTP atsakymo saugumo antraščių rinkinys.

Žiniatinklio aplikacijų pažeidžiamumai

Atskleisti administratoriaus keliai, šaltinio kodo nutekėjimai, derinimo puslapiai, atviri peradresavimai ir host-header injekcijos pažeidžiamumai.

JavaScript paslaptys

Užkoduoti API raktai, debesų prisijungimai ir vidiniai URL, netyčia įkelti į jūsų priekinę pusę. Skenuojame ir istorines kopijas.

CMS specifinės problemos

Žinomai pažeidžiami papildiniai ir pasenusios pagrindinės versijos WordPress, Drupal, Joomla ir Magento sistemose.

API pažeidžiamumai

Swagger ir GraphQL galiniai taškai, palikti produkcijoje, įjungta introspekcija ir neautentifikuotas API paviršius.

Debesų saugykla

Netyčia vieši S3, GCS ir Azure krepšeliai, susiję su jūsų prekės ženklu — dažna duomenų nutekėjimų priežastis.

Padomenių užgrobimo rizika

Laisvi DNS įrašai, nukreipti į neužimtus servisus — užpuolikų naudojamas vektorius jūsų prekės ženklui imituoti.

CORS ir JWT autentifikacijos klaidos

Pakaitalo simbolių CORS šaltiniai, pavojingi JWT algoritmų pasirinkimai ir autentifikacijos konfigūracijos klaidos.

Žinomi CVE

Automatiškai sulyginama su aptiktomis programų versijomis, kryžminis patikrinimas su naujausiomis pažeidžiamumų duomenų bazėmis.

CORS konfigūracijos klaidos

Aktyvus ir Gilus — aptinka savavališko šaltinio atspindėjimą, nulinės kilmės apeityną ir kredencialų nutekėjimą per CORS antraštes.

CRLF injekcija

Aktyvus ir Gilus — tikrina antraščių injekciją per URL kelius ir užklausos eilutės parametrus.

Talpyklos apnuodijimas

Aktyvus ir Gilus — aptinka nekeistų antraščių atspindėjimą, patvirtintą talpyklos HIT antrojoje užklausoje.

WAF aptikimas

Aktyvus ir Gilus — atpažįsta Cloudflare, Sucuri, F5, Imperva, Akamai arba nežinomą WAF per atakos šablonų zondus.

Greičio ribojimas

Aktyvus ir Gilus — tikrina prisijungimo ir API galinius taškus dėl trūkstamo greičio ribojimo.

SSRF zondas

Aktyvus ir Gilus — įterpia debesų IMDS URL (AWS, GCP, Azure) ir loopback adresus į URL tipo parametrus ir antraštes, siekiant aptikti serverio pusės užklausų klastojimą.

HTML & turinio injekcija

Aktyvus ir Gilus — tikrina URL parametrus ir kūno reikšmes dėl atspindimos HTML injekcijos, atributo injekcijos, CSS injekcijos ir JavaScript konteksto injekcijos.

Išsami TLS analizė

Tik Gilus — pilna šifrų paketo analizė: SSLv2/DROWN, SSLv3/POODLE, BEAST, SWEET32 (3DES), FREAK/EXPORT, LOGJAM (DHE-EXPORT), NULL šifrų palaikymas ir tobulo išankstinio slaptumo užtikrinimo nebuvimas.

SQL injekcija

Aktyvus ir Gilus — klaidų, loginių aklųjų ir laikui pagrįstų aklųjų SQLi tikrinimas URL parametruose, formos laukuose, antraštėse ir JSON kūno reikšmėse.

Kryžminių svetainių skriptavimas (XSS)

Aktyvus ir Gilus — atspindimo XSS testavimas naudojant skripto žymos, atributo laužimo, JavaScript konteksto ir DOM kriauklės injekcijų vektorius.

Šablonų injekcija (SSTI)

Aktyvus ir Gilus — serverio pusės šablonų injekcijų tikrinimas Jinja2, Twig, Freemarker, ERB ir Pug šablonų varikliuose.

Vietinių failų įtraukimas (LFI)

Aktyvus ir Gilus — kelio peržengimo ir LFI tikrinimas URL parametruose ir antraštėse; aptinka /etc/passwd, žiniatinklio serverio konfigūracijų ir programos šaltinio failų skaitymą.

XML išorinis subjektas (XXE)

Aktyvus ir Gilus — XXE injekcija XML priimančiuose galiniuose taškuose, tikrinant failų gavimą, SSRF per DTD ir out-of-band eksfiltraciją.

Failų įkėlimo piktnaudžiavimas

Aktyvus ir Gilus — tikrina įkėlimo galinius taškus dėl skriptų plėtinių apėjimo, dvigubo plėtinio įkėlimo ir MIME tipo apėjimo; patvirtina gavimą siekiant įrodyti RCE riziką be klaidingų teigiamų rezultatų SPA universalaus maršruto keliuose.

HTTP užklausos kontrabanda

Aktyvus ir Gilus — CL.TE, TE.CL ir TE.TE desinchronizacijos tikrinimas. Lyginamas su pavyzdinėmis užklausomis siekiant patvirtinti desinchronizaciją ir sumažinti klaidingus teigiamus rezultatus.

Numatytieji prisijungimo duomenys

Tik Gilus — tikrina aptiktus administravimo skydelius (Jenkins, phpMyAdmin, Grafana, Adminer, Kibana, Tomcat Manager, Airflow, Traefik, RabbitMQ) dėl numatytųjų arba silpnų prisijungimo duomenų priėmimo.

Sesijų valdymas

Tik Gilus — analizuoja slapukų entropiją, Secure/HttpOnly/SameSite žymų buvimą, sesijos žetonų nuspėjamumą ir fiksacijos riziką.

OAuth konfigūracijos klaidos

Tik Gilus — tikrina OAuth srautus dėl trūkstamo state parametro (CSRF), atviro redirect_uri ir nepakankamo nukreipimo URI tikrinimo.

Nesaugios tiesioginės objektų nuorodos (IDOR)

Tik Gilus — IDOR išvardijimas API galiniuose taškuose naudojant nuoseklių ID manipuliavimą, UUID spėjimą ir horizontalaus privilegijų eskalavimo tikrinimus.

GraphQL išsami analizė

Tik Gilus — introspekcijos piktnaudžiavimas, paketinių užklausų didinimas, užklausos gylio ir sudėtingumo išnaudojimas ir laukų lygio autorizacijos tikrinimas.

WebSocket saugumas

Tik Gilus — Origin antraštės tikrinimas, kryžminių svetainių WebSocket užgrobimas (CSWSH) ir pranešimų injekcijų tikrinimas aptiktuose WebSocket galiniuose taškuose.

Priklausomybių painiava

Tik Gilus — aptinka atskleistus paketų manifestų failus ir vidinius paketų pavadinimus, kurie galėtų būti užimti viešuosiuose registruose tiekimo grandinės kompromitavimui.

Prototipo tarša

Tik Gilus — kliento pusės prototipo taršos tikrinimas per užklausos parametrus ir JSON kūno reikšmes, testuojant grandininį susiejimą su DOM pagrįstu XSS.

€99 / month

Mėnesinis

1 skenavimas per mėnesį pagal pasirinktą profilį. Pilni OWASP radiniai, CVSS įverčiai, PDF ataskaita, prieiga prie pulto.

Geriausia: komandos su mėnesiniu išleidimo ciklu

€500 / month

Dieninis

1 skenavimas per dieną nuolatiniam stebėjimui. Prioritetinių radinių įspėjimai, regresijų skirtumų peržiūra, PDF kiekvienam skenavimui, prieiga prie pulto.

Geriausia: didelio greičio komandos, diegiančios kelis kartus per dieną

Sukurta atitikčiai

Kiekvienas skenavimas sukuria dokumentaciją, kurios tikisi auditorius — su laiko žyma, atributuojama ir eksportuojama. Pažeidžiamumai juda per dokumentuotą sprendimo darbo procesą su pastabomis ir sprendimo datomis.

ISO/IEC 27001

Pažeidžiamumų valdymo įrodymai, dengiantys kontrolę A.8.8, su dokumentuotu sprendimo darbo procesu ir sprendimo datomis.

SOC 2

Pažeidžiamumų stebėjimo įrodymai CC7.1 ir saugumo įvykių analizė CC7.3 — būtent tai, ko reikia jūsų Type I ar Type II auditui.

OWASP ASVS

Nepriklausomi tikrinimo įrašai, suderinti su OWASP Application Security Verification Standard reikalavimais.

PCI DSS

Reguliarūs išorinio skenavimo įrodymai, demonstruojantys nuolatinį pažeidžiamumų valdymą kortelių duomenų aplinkos atitikčiai.

Privatumas pirmiausia

Skenavimo rezultatai saugomi tik mūsų platformoje — niekada nesiunčiami per trečiųjų šalių skenavimo servisus ar dalijamasi su jais. Rezultatai šifruojami ramybėje ir matomi tik jūsų įgaliotiems vartotojams.

Kodėl klientai mus renkasi

Jokio diegimo

Įveskite domeną, spustelėkite Skenuoti. Jokių agentų, jokių API raktų, jokių tarpinių serverių, jokių trečiųjų šalių paskyrų.

Jokių trečiųjų šalių skenerių

Skenavimai vykdomi mūsų platformoje, rezultatai lieka ten — niekada nesiunčiami išoriniams skenavimo servisams ar dalijamasi su trečiosiomis šalimis.

Visada aktualu

Skenuokite, kada norite — priešdiegimui, podiegimui, pagal grafiką. Jokio laukimo, kol trečioji šalis paleis jūsų testą.

Paruošta suinteresuotosioms šalims

AI vadovybės santrauka išverčia techninius pažeidžiamumus į verslo kalbą be jūsų pastangų.

Stebėkite pažangą

Skenavimų palyginimas rodo, ką pataisėte ir kas naujo — apčiuopiamas pažangos įrodymas laikui bėgant.

Vienas įrankis, pilnas vaizdas

Pakeičia atskirų įrankių krūvą — DNS skeneris, SSL tikrintuvas, antraščių analizatorius, padomenių aptikimas, paslapčių skeneris, CVE paieška.

Plataus spektro testavimas su jūsų komandos naudojamomis integracijomis

Išoriniai skenavimai yra pagrindas. Taip pat teikiame išplėstines galimybes, kurių jūsų saugumo programai reikia už automatizuoto paviršiaus skenavimo ribų.

Vidinio tinklo įsilaužimo testavimas

Autentifikuoti testai jūsų vidinėms sistemoms, tinklo segmentavimo peržiūra, belaidžio ryšio saugumas ir šoninio judėjimo vertinimai — apimantys vidinę grėsmių paviršių, kurią išoriniai skenavimai palieka nepaliestos.

Mobiliųjų programų įsilaužimo testavimas

OWASP MASVS suderinti iOS ir Android programų testai. Atvirkštinės inžinerijos analizė, vykdymo laiko instrumentavimas, saugios saugyklos ir transporto audito, IPC ir giliųjų nuorodų peržiūra.

Bilietų & webhook integracijos

Radiniai automatiškai nukreipiami į jūsų komandos bilietų sistemą. Įspėjimai pagal sunkumo lygį per webhook, el. paštą ar on-call įrankį. Automatinis pakartotinis testavimas paleidžiamas, kai pažymite bilietus kaip išspręstus.

Rankiniu būdu patikrinti radiniai

Kiekvienas radinys yra rankiniu būdu patikrinamas žmogaus prieš pasiekiant jus. Jei radinys pasirodo esąs klaidingai teigiamas, ataskaita pataisoma ir jūsų skenavimo kreditas grąžinamas.

Dažniausiai užduodami klausimai

Kas yra įsilaužimo testavimas ir ką jis apima?

Įsilaužimo testavimas (pentest) yra praktika, kai tikrinama jūsų išorinė atakos paviršius taip, kaip tai darytų tikras užpuolikas. Mūsų skaneris vykdo vieną iš trijų profilių priklausomai nuo pasirinkto gylio. Pasyvus profilis (17 modulių) atlieka tik skaitymo žvalgybą: DNS, TLS sertifikatai, HTTP antraštės, CSP, HSTS, DMARC/SPF/DNSSEC, JavaScript patikrinimas, apsauga nuo clickjacking, CSRF ir vidinių IP atskleidimas. Aktyvus profilis (44 moduliai) prideda prievadų skenavimą, padomenių išvardijimą, CMS atpažinimą, CORS konfigūracijos klaidas, WAF aptikimą, greičio ribojimą ir aktyvų injekcijų testavimą: SQL injekcija (klaidų/loginės/laikui pagrįstos aklosios), atspindimas XSS (skripto/atributo/JS/DOM kontekstai), SSTI, LFI, XXE, failų įkėlimo piktnaudžiavimas, HTTP užklausos kontrabanda (CL.TE / TE.CL / TE.TE) ir SSRF. Gilus profilis (53 moduliai) papildomai prideda numatytojo slaptažodžio testavimą prieš aptiktas administravimo skydelius, sesijų valdymo analizę, OAuth konfigūracijos klaidų testavimą, IDOR išvardijimą, GraphQL išsamią analizę, WebSocket saugumą, priklausomybių painiavą, prototipo taršos tikrinimus ir išplėstinę TLS analizę (SSLv2/DROWN, POODLE, BEAST, SWEET32, FREAK, LOGJAM).

Kiek kainuoja įsilaužimo testavimas?

Mūsų automatizuota išorinio skenavimo paslauga prasideda nuo €99 / month mėnesiniams skenavimams, €250 / month savaitiniams ir €500 / month dieniniams. Kiekvienas planas leidžia pasirinkti iš trijų skenavimo profilių (Pasyvus, Aktyvus arba Gilus) prieš kiekvieną skenavimą. Pilnos kainos pateiktos mūsų kainų puslapyje.

Kuo tai skiriasi nuo rankinio įsilaužimo testavimo?

Rankinio penetravimo testai yra projektu grįsti (paprastai €5,000–€20,000+ už išorinį testą) ir vykdomi kartą ar du per metus. Mūsų paslauga yra nuolatinė — jūsų išorinė atakos paviršius skenuojamas apibrėžtu dažniu, todėl naujos kodo pakeitimų įvestos pažeidžiamybės aptinkamos per dienas, ne mėnesius. Abu požiūriai vienas kitą papildo: nuolatinė automatizuota aprėptis kartu su periodiniu rankinio gilumo tikrinimu.

Kaip dažnai turėtume vykdyti įsilaužimo testą?

ISO 27001 ir SOC 2 reikalauja reguliaraus pažeidžiamumų valdymo — paprastai suprantama kaip mažiausiai kas mėnesį. Aktyvioms kūrimo komandoms savaitiniai skenavimai aptinka regresijas prieš tai, kai jos lieka nepataisytos visą ciklą. Dienos skenavimai tinka reguliuojamoms pramonės šakoms (PCI DSS, sveikatos priežiūra), kur bet koks naujas pažeidžiamumas išleistame build'e turi būti greitai nustatytas.

Ar skenavimo rezultatai lieka jūsų platformoje ar perduodami trečiosioms šalims?

Skenavimo rezultatai saugomi tik mūsų platformoje — niekada nenukreipiami per trečiųjų šalių skenavimo servisus ar dalijamasi su jais. Radiniai šifruojami ramybėje ir matomi tik jūsų įgaliotiems vartotojams. Tai sąmoninga architektūrinė pasirinkimas, įdiegtas į produktą nuo pirmosios dienos.

Kokiems atitikties struktūroms tai padeda?

ISO 27001 (A.8.8 pažeidžiamumų valdymas), SOC 2 (CC7.1 ir CC7.3 saugumo stebėjimui ir įvykių analizei), OWASP ASVS (aplikacijos saugumo tikrinimas) ir PCI DSS (reguliarus išorinis pažeidžiamumų skenavimas kortelių duomenų aplinkos atitikčiai). Kiekvienas skenavimas sukuria su laiko žyma eksportuojamą PDF ataskaitą su įrodymais, kurių tikisi auditorius.

Išbandykite savo domene

Prisijunkite, eikite į Saugumo audito puslapį, įveskite URL — pirmieji pažeidžiamumai jau po kelių minučių.

See plans    Siųsti užklausą

Prašyti informacijos — Įsilaužimo testavimas

GREITAS ATSAKYMAS · 24-48 VAL.

AGENTŲ POKALBIS
Sistema: Saugi jungtis užmegzta. Laukiama įvesties...