Для каждого из веб-приложений Заказчика, подлежащих анализу, специалисты Исполнителя выполняют:
- Автоматизированное сканирование веб-приложения с применением сканеров уязвимостей веб-приложений;
- Ручные проверки веб-приложения на наличие уязвимостей с использованием методик OWASP, OSSTMM, а также собственных методик Исполнителя;
- Разработка proof-of-concept (примеров эксплуатации) выявленных уязвимостей, оценка их степени критичности, а также рекомендаций по их устранению;
- В случае появления соответствующего доступа в результате эксплуатации уязвимостей проводится анализ полученной информации с целью поиска возможности дальнейшего развития атаки.
В рамках проведения работ эксплуатация уязвимостей, подразумевающая высокий риск нарушения доступности веб-приложения, отдельно согласовывается с Заказчиком.
Проверки могут осуществляться в соответствии с различными моделями потенциальных злоумышленников.