Фактический адрес
Офис Simplity «Чистые Пруды»,
ул. Мясницкая д. 24/7 стр.3

+7 499 288 88 18
Тестирование веб-приложений технологического гиганта РФ
Вернуться

Тестирование веб-приложений технологического гиганта РФ

1
критическая уязвимость позволяет получить чувствительные данные
Проблема

  • Частые обновления приложений и быстрые изменения приводят к появлению «скрытых» функций и забытых эндпойнтов (конечных точек), а компрометация таких систем может открыть злоумышленнику доступ к данным и внутренней инфраструктуре компании, поэтому регулярное тестирование на проникновение и аудит безопасности необходимы.

Особенность

Площадь атаки на клиента велика и постоянно расширяется: десятки порталов, API (Application Programming Interface, прикладной программный интерфейс), микросервисов и интеграций образуют сложную экосистему, где любая ошибка конфигурации или логики может стать точкой входа.

Запрос

  • Провести тестирование на проникновение нескольких веб-приложений

  • Дать объективную оценку их устойчивости к атакам внешнего нарушителя

ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:
  1. Провели тестирование веб-приложений по модели «черного ящика» без исходных данных об архитектуре и логике систем.
  2. Выявили несанкционированный доступ к документации API (Application Programming Interface, прикладной программный интерфейс) и получили сведения о внутренних и служебных эндпойнтах (конечных точках).
  3. Проанализировали структуру API и логику взаимодействия сервисов на основе раскрытой документации.
  4. Проверили механизмы аутентификации и разграничения прав пользователей.
  5. Обнаружили функции, доступные пользователям с минимальными или несоответствующими привилегиями.
  6. Подтвердили возможность получения чувствительных данных, изменения конфигураций и управления ресурсами через API.
  7. Продемонстрировали обход ограничений, реализованных только на уровне пользовательского интерфейса.
  8. Воспроизвели выявленные векторы атак на практике и задокументировали риски.
  9. Подготовили рекомендации по усилению защиты API и серверной логики контроля доступа.
Результат
  • Получил объективную оценку реального уровня защищённости веб-приложений
  • Снизил риск компрометации бизнес-данных и сервисов компании
  • Сократил избыточное раскрытие внутренней функциональности системы
  • Получил чёткий план устранения слабых мест веб-приложений и дальнейшего развития процессов безопасной разработки
Сотрудничать
с Simplity
Использование cookies

Наш сайт использует куки. Продолжая им пользоваться, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности.
Политика использования cookie-файлов