Комплексный аудит сайта / портала

Мы делаем комплексный аудит цифровых порталов

Заполните заявку м получите первичный базовый аудит портала - БЕСПЛАТНО.

Используем мировые и Российские стандарты анализа (OWASP, WASC и т. д.)

1. Аудит информационной безопасности сайта;

2. Поисковый аудит;

3. Аудит юзабилити сайта;

4. Технический аудит.

Аудит информационной безопасности сайта включает:

• Конфигурация веб-сервера и уязвимости инфраструктуры;
  
• Уязвимости приложений используемых сайтом
  
• Уязвимости, связанные с логикой бизнес-приложений, которые не могут быть идентифицированы автоматическими инструментами.
  
• анализ функционирования компонентов web-сайта на предмет выявления уязвимостей посредством OSSTMM 3.2. - The Open Source Security Testing Methodology Manual и OWASP Testing Guide V3.0 (Open Web Application Security Project);
• сканирование web-ресурсов автоматизированными средствами с целью выявления существующих уязвимостей;
• тестирование на проникновение;
• Специальные тесты безопасности, адаптированные к различным типам веб-активов и технологий, таких как электронная коммерция, API-интерфейсы, порталы управления, PSD2, CMS, CRM и т. д.
  
• Ошибки внедрения, такие как внедрение SQL, ОС и LDAP, возникают, когда ненадежные данные отправляется интерпретатору как часть команды или запроса.

Технический аудит включает:

• поиск ошибок в коде;
• определение правильности архитектуры и логичности структуры сайта;
• определение скорости загрузки страниц и рекомендации по выбору характеристик хостинга при повышении существующей нагрузки сайта;
• корректность ответов сервера и оценка настройки страниц ошибок;
• поиск работы редиректов;
• анализ семантического ядра сайта;
• анализ на отсутствие дублей страниц;
• поиск на наличие «битых» и циклических ссылок.

Поисковый аудит включает:

• наличие и грамотность составления robots.txt,
• количество страниц, индексирующихся в поисковых системах,
• определение внутренней ссылочной структуры (качество перелинковки);
• анализ внешней ссылочной массы (количество и качество внешних ссылок);
• проверка уникальности и актуальности контента; 
• анализ потенциала для увеличения целевого трафика.

Аудит юзабилити сайта включает: 

• проверка корректности отображения сайта в любых браузерах при любых настройках экрана (кроссбраузерности сайта); 
• анализ и удобство диалоговых форм сайта;
• анализ логичности архитектуры сайта, легкости перемещения между страницами;
• простота поиска и оформления интерфейса сайта;
• анализ достижения целей на сайте разными типами аудитории.

Аудит личных кабинетов пользователей

Разрабатывается алгоритм, по которому проводится несколько десятков тестовых операций по всем разделам ЛК и возможным действиям, которые может совершить пользователь во время и после регистрации. Каждое действие и ответ системы фиксируется в протоколе тестирования. 

В рамках каждого шага отрабатываются несколько вариантов заведомо ошибочных действий, отклик на которые также фиксируется и анализируется на корректность выдачи предоставляемой информации. 

Производится проверка на избыточность и пользовательскую ценность информации.


Ожидаемый результат:

1. Протокол тестирования с детальным описанием алгоритмов, вариативностей, результатов тестов;

2. Выявленные в результате тестирования ошибки и несоответствия;

3. Рекомендации по оптимизации логики взаимодействия элементов системы, выдачи и отображения информации пользователю, связанными с ЛК внешними и внутренними информационными системами;

4. Отчет с рекомендациями и предложениям по изменению заголовков, интерфейсов, дизайна и расположения основных модулей ЛК в текстовом и графическом виде.

По окончании комплексного аудита сайта Заказчик получает отчет, содержащий, в том числе, следующие сведения:

• обзор используемых методик исследования;
• описание найденных уязвимостей (характеристика уязвимости, ссылки на мировые рейтинги и таксономии (OWASP Top 10, CWE, WASC) и анализ их критичности;
• описание сценариев атак, использующих выявленные уязвимости и наносящие Заказчику максимальный ущерб;
• выявленные ошибки позиций и трафика сайта;
• рекомендации по оптимизации сайта по каждому из направлений комплексного аудита;
• проект технического задания по комплексной модернизации и оптимизации сайта с учетом исправления выявленных недочётов и уязвимостей;
• рекомендуемые характеристики хостинга сайта (раздельно для действующей версии, версии с учетом с учетом внедрения интерактивных курсов и системы тестирования на сайте при одновременной нагрузке до 10 000 - 10 000 000 человек, версии с учетом предложенной модернизации сайта).