Как мы устранили уязвимости и вирусы на сайте fvsport.com
Сайт fvsport.com
О клиенте:
FV Sport – интернет-магазин с подборкой американских, европейских и локальных марок.Сайт в период с марта по апрель работал нестабильно, часто наблюдались сбои в работе.
Как показала проверка, ошибки в работе были связаны с проникновением вирусов на сайт. Многочисленные чистки и лечение вирусов не давали положительных результатов, проблема продолжала повторяться.
Требовался комплексный аудит безопасности, чтобы найти и исправить недочеты.
В рамках задач по рекомендациям аудита были проведены следующие работы:
- Установлены флаги безопасности для cookie.
- Настроена политика безопасности — к веб-странице добавлен HTTP-заголовок Content-Security-Policy, в котором заданы значения, контролирующие, какие ресурсы пользовательский агент может загружать для этой страницы.
- Удалены лишние файлы, через которые можно было получить доступ к сайту.
- Закрыт доступ к серверу по определенным портам.
- Установлены заголовки HTTP X-XSS-Protection, которые помогают предотвратить некоторые XSS-атаки («межсайтовый скриптинг») и X-Frame-Options.
- Решено более 150 проблем
- Задача выполнена за 10 рабочих дней
Сайт был просканирован по принципу чёрного ящика на наличие всех возможных уязвимостей.
- Поиск файлов резервного копирования на веб-сервере, которые доступны для скачивания.
- Проверка уязвимости форм аутентификации.
- Поиск скрытых файлов и каталогов.
- Оценка безопасности файлов cookie.
- Поиск уязвимостей CRLF.
- Оценка политики безопасности контента (CSP).
- Поиск форм, где отсутствует защита Cross-Site Request Forgery (токены CSRF).
- Обнаружение скриптов уязвимых для удаленного выполнения кода.
- Обнаружение связанных с файлами уязвимостей, таких как обход каталогов и include.
- Попытка обойти элементы управления доступа к ресурсу, используя пользовательский метод HTTP.
- Определение технологий, применяемых веб-сервером, с использованием базы данных HashThePlanet.
- Оценка безопасности заголовков HTTP.
- Обнаружение уязвимости log4shell (CVE-2021–44228).
- Обнаружение редких методов HTTP (например, PUT), которые могут быть разрешены скриптами.
- Перебор известных и потенциально опасных скриптов на веб-сервере.
- Обнаружение хранимых (постоянных) уязвимостей Cross-Site Scripting.
- Поиск уязвимостей типа Open Redirect.
- Обнаружение скриптов, уязвимых для ShellShock.
- Обнаружение уязвимостей injection QL, LDAP и XPATH.
- Обнаружение уязвимостей Server-Side Request.
- Обнаружение поддоменов, уязвимых для подмены.
- Обнаружение уязвимостей инъекций SQL с использованием методики на основе time-based technique.
- Определите веб-технологии, используемые сервером с использованием базы данных Wappalyzer.
- Обнаружение скриптов, уязвимых для инъекции внешней сущности XML (также известного, как XXE).
- Проверка открытых портов сервера и уязвимостей ПО, которое использует порты.
- Проверка SSL-сертификата.
- Анализ CMS при наличии доступов.
Благодаря выполненным работам в соответствии с рекомендациями аудита, мы успешно защитили сайт fvsport.com от вирусных атак. Работоспособность была полностью восстановлена, и подобных проблем больше не возникало.
Оставьте заявку и получите персональную консультацию.
Мы ежедневно создаем интересный и полезный контент для бизнеса. Публикуем статьи, исследования рынка и советы экспертов отрасли. Организуем вебинары и консультации по продвижению бизнеса с учетом текущих условий. Размещаем обзоры и репортажи с крупных выставок.
Подписывайтесь, применяйте полученные знания на практике и будьте на гребне волны!