Проверка на проникновение (известная также как pen-тестирование) организуется для того, чтобы понять, есть ли уязвимые места в системе безопасности сайта. Во время проведения работ программист действует как злоумышленник: он пытается найти слабину в защите ресурса и получить доступ к важной информации. В результате клиент получает перечень рекомендаций по улучшению безопасности и доработкам, которые необходимо сделать.
Проводить проверку стоит периодически всем компаниям, которые имеют полноценный сайт и используют внутреннюю корпоративную сеть. Своевременно заказав тестирование на проникновение, можно избежать серьезных проблем с хакерами в дальнейшем. Среди компаний, пользующихся такими услугами, встречаются:
Ещё одна задача пен-теста — определить уровень осведомленности среди сотрудников службы IT-безопасности компании клиента. Благодаря проверке, становится понятно, насколько компетентны работники и не стоит ли им пройти обучение по каким-либо темам.
Во время проверки задача аудитора состоит в поиске слабых мест защиты сайта. Поэтому специалист ведёт себя как хакер: пытается проникнуть в систему безопасности, взломать важные файлы или внедрить в программу вредоносные и вирусные файлы. Если ему это удается, становится понятно, какие части защиты стоит усилить. К обязательным действиям аудитора относятся следующие:
Иногда тестирование проводится без ведома сотрудников компании, отвечающих за безопасность. В таком случае клиент и аудитор следят за поведением IT-специалистов и их попытками пресечь незаконное проникновение. По завершении проверки сотрудники получают рекомендации по организации достойного ответа хакерам.