В данном кейсе мы проводим комплекс работ по аудиту крупного Интернет-магазина. Описывая этот проект, хотим еще раз напомнить нашим партнерам и клиентам, что проверка технических характеристик веб-ресурса очень важна для построения будущей стратегии развития и исключения возникновения инцидентов утечки или повреждения данных. В современных реалиях необходимо четко понимать и контролировать уровень защищенности своего сайта.
Исходная ситуация
Клиент обратился к нам с запросом проведения аудита Интернет-магазина компании. У заказчика имеется свой ИТ-отдел, однако руководство предприятия решило проработать линию сотрудничества со сторонним подрядчиком, чтобы в случае необходимости ИТ-интегратор уже был в курсе состояния сайта и смог оперативно подключиться к выполнению задач или дать экспертную оценку ситуации.
На момент обращения Интернет-магазин клиента располагался на серверах компании предоставляющей услуги хостинга. Незадолго до обращения к нам, клиенту сообщили, что из-за возникших неполадок его ресурс был перенесен на другую платформу, работы по миграции проведены успешно и сайт обеспечен стабильной работой. Однако после этого всё чаще начали появляться различного рода сбои. Нам предстояло выяснить с чем это связано.
Для реализации аудита мы запросили у клиента необходимые доступы к серверу, но заказчик сообщил, что компания, предоставляющая услуги хостинга, ответила отказом, никак не аргументировав свою позицию. Учитывая данную неприемлемую ситуацию, клиент решил перенести сайт на собственный хостинг. Силами штатных сотрудников ИТ-отдела заказчика на территории компании был настроен соответствующий сервер. Использовалось современное оборудование и Интернет-магазин заработал быстрее, но все же требовал детального аудита, так как сбои не прекратились.
Задачи
- Реализовать технический аудит сайта, выявить все критические уязвимости;
- Предоставить отчет с подробными рекомендациями по устранению узких мест системы.
Реализация
Над проектом работали:
- Технический руководитель;
- Старший системный Linux-инженер;
- Старший веб-разработчик;
- Инженер по безопасности.
Проверка включала в себя исследование состояния портов и Firewall, анализ серверного оборудования, используемого ПО, состояния кода, проведение стресс-теста системы, сканирование сайта на ошибки, а также изучение открытых источников (OSINT). Далее мы расскажем о некоторых выявленных уязвимых местах.
Резервные копии данных
Как выяснили наши ИТ-инженеры, на новом сервере у клиента никаким образом не было настроено резервное копирование данных, а также отсутствовала какая-либо система виртуализации. Для крупного Интернет-магазина подобная недоработка является весьма существенным упущением. В случае успешной кибератаки или выхода сервера из строя, клиент рискует потерять все хранящиеся на хостинге корпоративные данные. А кроме этого, восстановление работы сайта при инциденте, займет значительное количество времени — от трех дней до недели. Что может спровоцировать существенные финансовые потери.
Открытые порты, ошибки в настройках Firewall и исследование внешних ресурсов
Благодаря детальному изучению настроек безопасности, а также проведению OSINT, удалось выявить серьезные уязвимости защиты данных. Часть значимых портов была открыта внешнему доступу, а также присутствовали серьезные ошибки в настройках Firewall. Обнаружены варианты доступа к данным, хранящимся в закрытых разделах сайта.
Кроме того, использовалось устаревшее программное обеспечение.
Ошибки в коде сайта
Сканирование сайта специализированным ПО, а также проверка модулей и разделов в ручном режиме, тоже выявили ряд недочетов. Обнаружено наличие в коде сложных сторонних скриптов, часть из которых не использовалась. Их наличие значительно затормаживает работу ресурса. Поэтому часть кода нуждалась в рефакторинге. Также присутствовали значительные ошибки в расстановке метатегов, что сильно затрудняет SEO-продвижение сайта.
Стресс-тест сайта
Интернет-магазин клиента посещают за день по 3000 посетителей. Задачей нашего программиста было определение максимального количества запросов, которое сайт может обработать одновременно. И здесь также обнаружена уязвимость. Всего 450 одновременных обращений, и веб-ресурс начинал выдавать ошибки, часть запросов переставала обрабатываться, сервер сбрасывал соединение. Следовательно, даже небольшая DoS-атака могла нанести существенный вред работоспособности Интернет-магазина.
Результаты аудита Интернет-магазина
- 1Нашей рабочей группой выявлено множество ошибок, сильно влияющих на безопасность данных и быстродействие сайта;
- 2Для клиента подготовлен отчетный документ с детальными рекомендациями по исправлению ситуации. ИТ-отдел компании получил развернутую консультацию по всем пунктам отчета.
- 3Благодаря реализованному аудиту клиент может правильно спланировать устранение всех уязвимостей, а также принять стратегические решения по техническому развитию сайта.
Вовремя реализованный технический аудит сайта позволит вам построить надежную защиту от кибератак и других инцидентов. Звоните нам, и мы ответим на все вопросы, касающиеся данной услуги. Работы проводятся с подписанием всех необходимых договоров о конфиденциальности данных.
