В данном кейсе мы выявляем множество недоработок в системе безопасности сайта клиента, распределяем найденные уязвимости по приоритетности исправления и даем четкие рекомендации по их устранению.
Исходная ситуация
С клиентом мы сотрудничаем уже продолжительное время и имеем доверительные взаимоотношения, сформированные за время работы над предыдущими проектами. В процессе выполнения задач, связанных с архитектурой информационной системы компании, наш инженер проявил инициативу и дополнительно частично проверил безопасность сайта клиента.
Поверхностный мониторинг выявил несколько уязвимостей, о которых мы незамедлительно сообщили заказчику.
После получения информации о найденных слабых местах в безопасности сайта, руководство компании обратилось к нам за более детальной проверкой веб-ресурса. Сама компания — крупный дистрибьютор строительных материалов, с более чем 20 филиалами в Российской Федерации. Сайт компании — интернет-магазин со сложной структурой, с большим каталогом, корзиной, личными кабинетами пользователей, имеет интеграцию с 1С и другими сервисами.
Нашей ИТ-команде предстояло:
- Провести комплексный аудит безопасности сайта заказчика;
- Подготовить подробный отчет о найденных «узких» местах в информационной безопасности веб-ресурса и предоставить рекомендации по их устранению.
Реализация
Технически проведение аудита сайта состоит из следующих частей:
- Сканирование сайта специализированным программным обеспечением;
- Проверка настроек firewall;
- OSINT — анализ информации о ресурсе в открытых источниках;
- Проверка актуальности программного обеспечения (CMS, PHP, операционная система сервера и другое);
- Изучение данных встроенной системы безопасности;
- Анализ ошибок в коде, проверка корректности настроек систем обмена с внешними ресурсами;
- Анализ конфигурации сервера;
- Технический аудит сайта и его серверной части.
Сканирование сайта специализированным программным обеспечением
Так как сайт является крупным веб-порталом, включающим в себя интернет-магазин с огромным каталогом, для проведения аудита использовалось специализированное ПО, способное просканировать ресурс на наличие самых распространенных уязвимостей. Программа в автоматическом режиме проверила сайт и выдала гигантский отчет.
Далее к работе приступил эксперт-аналитик. Полученные данные были расформированы, определены наиболее критические уязвимости, расставлены приоритеты по исправлению ошибок.
Ошибки в настройке Firewall
В процессе анализа состояния безопасности были выявлены ошибки в настройках Firewall. В отчет для клиента включена рекомендация по корректировке настроек и предотвращению несогласованного доступа к значимым портам.
OSINT — анализ информации о ресурсе в открытых источниках
Одним из этапов проведения аудита безопасности сайта, является разведка по открытым источникам. Как оказалось, сканеры некоторых сервисов уже обошли сайт клиента и выложили у себя информацию об уязвимостях. При желании злоумышленники могли в любой момент воспользоваться этими открытыми данными.
Проверка версий ПО
Общее состояние систем требовало обновления. Сайт базировался на устаревшей версии Bitrix 7.3.4, а также были использованы неактуальные версии jQuery, OpenSSH, Nginx, PHP, Apache. Обновление всего перечисленного программного обеспечения улучшит быстродействие системы в целом, а также позволит значительно повысить уровень безопасности сайта.
Изучение данных встроенной системы безопасности
Встроенные в CMS Bitrix сканеры безопасности и производительности оказались нерабочими. Дана рекомендация по их настройке и включению.
Анализ ошибок в коде
Один из наших ведущих программистов, входящий в рабочую группу проекта, внимательно проанализировал работу обмена сайта с 1С, а также с другими ресурсами. В ходе проверки обнаружен ряд серьезных ошибок и составлен список работ по их устранению.
Анализ конфигурации сервера
Значительная часть уязвимостей была выявлена на стороне сервера. Это вызвано неправильным предоставлением прав доступа пользователям, а также наличием неактуальных патчей. Кроме того, сервер находился в открытом доступе, что является критичной ошибкой, которой могли воспользоваться злоумышленники.
Технический аудит сайта
На данном этапе оценивались скорость загрузки страниц, устойчивость ресурса к нагрузкам, а также оценивались ошибки и недостатки в функционировании технической базы сайта.
Результаты проверки работы сайта под нагрузкой:
Главная страница — время ответа в 10 секунд достигается при 27 активных пользователях и держится примерно на этом уровне до 42 активных пользователей. Раздел каталога — время ответа в 10 секунд достигается уже при 19 активных пользователях и держится примерно на этом уровне до 25-27 активных пользователей. Далее наблюдается серьезное увеличение времени ответа.
Подобные показатели являются неприемлемыми для крупного интернет-магазина. При DoS-атаке на сайт, загрузка страниц может стать невозможна. Вопрос решается на стороне серверных ресурсов или оптимизации запросов к базе данных. Нашим специалистом было установлено, что мощности сервера вырабатываются не полностью, поэтому проблема заключается во взаимодействии базы и сайта.
Общий вывод по аудиту
Подводя итог проверке веб-портала клиента, наш эксперт заключил, что сайт весьма уязвим для кибератак. Множество ошибок являются критическими, и важные данные находятся под угрозой.
Результаты
- 1Проведенный аудит выявил множество слабых мест в безопасности сайта клиента;
- 2Для заказчика подготовлен подробный отчет о найденных уязвимостях и рекомендации по их устранению. При этом наш специалист сформировал все ошибки по их важности и критичности, указав, что нужно решать в срочном порядке, а что является второстепенной проблемой.
- 3Обладая полной информацией обо всех «узких» местах в безопасности сайта, клиент приступил к их устранению.
Оценив объем ошибок в настройках безопасности сайта и количество найденных уязвимостей, заказчик также запросил у нас аудит своего корпоративного портала Битрикс24.
