Sikkerhetssjekk av nettsted

Sikkerhetssjekk av nettsted

Vi utfører kontroll av nettsteder med tanke på å avdekke sikkerhetshull på server, programvare og i webapplikasjonen. Vi kan bistå med søk etter sikkerhetsproblemer på webservere og nettsteder uansett om nettstedet ligger hos oss eller hos andre leverandører (kontroll av nettsteder hos andre leverandører krever en godkjennelse fra eier av nettstedet. Skal det også utføres en kontroll av webservere og/eller nettverk kreves en godkjennelse fra eier av utstyret).


Hvordan utføres kontrollen?

Vi leverer ulike typer sikkerhetskontroller, men felles for alle er at det blir gjennomført et simulert angrep på server og/eller nettstedet i et forsøk på å avdekke problemer. Angrepet er ikke destruktivt.

Etter kontrollen får du tilsendt en rapport med oversikt over hvilke kontroller som er gjennomført, hvilke sikkerhetshull som eventuelt ble funnet, og generelle tilrådinger for å tette koden. Dersom det er ønskelig kan vi også gi helt konkrete forslag om endringer, men dette krever at vi også har tilgang til koden, databaser og/eller webserveren. Denne tjenesten er ikke inkludert i prisen og utføres på timebasis.

Eksempler på noen problemer som kontrollen avdekker:

  1. SQL-innsprøytning (SQL injection)
  2. Cross Site Scripting (XSS)
  3. Katalogtraversering
  4. Utdaterte versjoner av server- og applikasjonsprogramvare
  5. Bruk av moduler med kjente sikkerhetshull
  6. Bruk av svake passord
  7. Manglende/utilstrekkelig sikring av rettighetsnivå på filer, mapper og databaser


Priser

Vi kan tilby ulike grader av sikkerhetskontroll, og prisen avhenger av hva slags kontroll som ønskes og dermed i hvilken grad det kreves manuelle tilpasninger underveis.

Fullstendig kontroll
En fullstendig kontroll av nettstedet ditt koster fra kr. 5.900,- og inkluderer en enkel sjekk av serveren nettstedet ligger på. Denne kontrollen tar utgangspunkt i startsiden og følger interne lenker samt forsøker å finne og undersøke mapper, filer og applikasjoner som ikke er synlig fra hovedsiden. Det er ingen begrensning i antall sider/lenker og/eller nivåer som kontrolleres, og alle kontrollpunkter er inkludert.

Prisen gjelder for en automatisk kontroll hvor det ikke må utføres manuelle justeringer eller kontroller underveis.

Innen 24 timer fra bestilling får du tilsendt en enkel rapport med oversikt over resultatet av kontrollen, og oversikt over eventuelle kritiske sikkerhetshull som ble avdekket. I løpet av 72 timer får du tilsendt en fullstendig rapport med eventuelle generelle tilrådinger.

Overflatisk kontroll
Vi kan tilby en rask, overflatisk kontroll av nettstedet ditt. Denne kontrollen gjør et raskt søk med utgangspunkt i startsiden din, og følger ganske enkelt de lenkene den finner på siden uten å lete etter skjulte sider/lenker. Testen sjekker primært for åpenbare hull som åpner for SQL-innsprøytning (SQL injection) og i noen grad også Cross Site Scripting (XSS).

Denne testen kan være et godt alternativ hvis du bare vil gjøre et rask kontroll av nettstedet ditt. Sikkerhetshull som blir avdekket her er ofte de samme som brukes av tilfeldige angripere, og du vil dermed ha muligheten til å sikre deg mot denne typen angrep. Testen vil imidlertid ikke nødvendigvis avdekke sikkerhetshull som kan bli funnet av angripere i forbindelse med målrettede angrep hvor det ofte brukes lengre tid på å finne sikkerhetshull.

Denne kontrollen har en begrensning i forhold til hvor mange lenker som testes, og det er ikke mulig å gjennomføre kontroll av sider/nettsteder som krever autentisering.

En overflatisk kontroll koster bare kr. 590,-. Eventuell etterkontroller etter sikring av avdekkede problemer koster kr. 250,- pr. kontroll forutsatt at det bestilles innen 30 dager etter første kontroll.

Det blir sendt en kortfattet rapport med oversikt over eventuelle sikkerhetshull i løpet av 24 timer etter bestilling.


Hvordan utføres kontrollen?

Mange webutviklere mangler kompetanse og innsikt i forhold til sikring av kode. I tillegg blir det stadig flere tilbydere av nettsider og webapplikasjoner basert på åpen kildekode-produkter fra tredjepart. Noen av disse tilbyderne har ikke kompetanse utover installasjon og oppsett av ferdige applikasjoner, og kan ikke gjøre egne tilpasninger i koden. I svært mange tilfeller ser vi at mangelfull kunnskap og forståelse for betydningen av sikkerhet gjør at man tar noen snarveier under installasjonen av nettstedet, og deretter leverer produktet til kunden uten å ha kvalitetssikret koden.

Ofte blir kunden overlatt til seg selv etter at nettstedet er satt opp, noe som medfører at nettstedet ofte ikke blir oppdatert jevnlig.

Mitt webhotell ligger hos Agdernett, er jeg ikke da sikret?
Abonnerer du på våre egenutviklede publiseringsløsninger, netthandelssystemer eller CRM-løsninger garanterer vi at koden og applikasjonene er sikret og tettet for sikkerhetshull som var kjent på installasjonstidspunktet, og vi tar det fulle ansvaret for å rydde opp i eventuelle problemer som måtte oppstå som følge av angrep mot nettstedet ditt.

Dersom du derimot benytter andre applikasjoner, har installert nettstedet ditt selv, eller det er installert av tredjepart, må du selv sørge for at nettstedet ditt er beskyttet til enhver tid. Merk imidlertid at selv om mange leverandører ikke har tilstrekkelig kompetanse til å bedømme hvorvidt et nettsted er tilstrekkelig sikret finnes det hederlige unntak. Vi anbefaler at våre kunder som vurderer eksterne leverandører stiller noen kontrollspørsmål i forkant:
  1. Er applikasjonen sikret mot angrep på leveringstidspunktet?
  2. Blir koden oppdatert jevnlig for å tette eventuelle nye sikkerhetstrusler som var ukjent på leveringstidspunktet?
  3. Har leverandøren egne utviklere som kan gjøre spesialtilpasninger eller manuelle endringer i koden?
  4. Hvilke rutiner har leverandøren for å rydde opp etter et eventuelt angrep?


Som hovedsak kan du som regel føle deg litt tryggere på å få nødvendig oppfølging hvis leverandøren selv har utviklet nettstedet, ettersom han da har god kjennskap til koden. Brukes applikasjoner fra tredjepart (f.eks. Joomla!, Wordpress, Drupal m.m.) bør du forsikre deg om at leverandøren vet hvordan han kan gjøre endringer i koden og at han ikke er avhengig av tredjepart for å utføre slike endringer.