Найти в Дзене
Simplity | ИТ и Кибербезопасность
19 подписчиков

Тестирование веб-приложений технологического гиганта РФ

1 мин
Что скрывает API ? Результаты тестирования на проникновение от команды Simplity - неожиданные выводы о защищенности систем. Частые обновления приложений и быстрые изменения приводят к появлению «скрытых» функций и забытых эндпойнтов (конечных точек), а компрометация таких систем может открыть злоумышленнику доступ к данным и внутренней инфраструктуре компании, поэтому регулярное тестирование на проникновение и аудит безопасности необходимы. Площадь атаки на клиента велика и постоянно расширяется: десятки порталов, API (Application Programming Interface, прикладной программный интерфейс), микросервисов и интеграций образуют сложную экосистему, где любая ошибка конфигурации или логики может стать точкой входа. Подробнее о повышении устойчивости бизнеса за счет тестирования на проникновение, этапах оказания услуги и результатах для вашего бизнеса можно узнать на сайте Simplity. Наши специалисты готовы оперативно проконсультировать!
Оглавление

Что скрывает API ? Неожиданные выводы о защищенности систем.

Частые обновления приложений и быстрые изменения приводят к появлению «скрытых» функций и забытых эндпойнтов (конечных точек), а компрометация таких систем может открыть злоумышленнику доступ к данным и внутренней инфраструктуре компании, поэтому регулярное тестирование на проникновение и аудит безопасности необходимы.

ОСОБЕННОСТЬ КЛИЕНТА

Площадь атаки на клиента велика и постоянно расширяется: десятки порталов, API (Application Programming Interface, прикладной программный интерфейс), микросервисов и интеграций образуют сложную экосистему, где любая ошибка конфигурации или логики может стать точкой входа.

ЗАПРОС:

  • Провести тестирование на проникновение нескольких веб-приложений
  • Дать объективную оценку их устойчивости к атакам внешнего нарушителя

ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:

  1. Провели тестирование веб-приложений по модели «черного ящика» без исходных данных об архитектуре и логике систем.
  2. Выявили несанкционированный доступ к документации API (Application Programming Interface, прикладной программный интерфейс) и получили сведения о внутренних и служебных эндпойнтах (конечных точках).
  3. Проанализировали структуру API и логику взаимодействия сервисов на основе раскрытой документации.
  4. Проверили механизмы аутентификации и разграничения прав пользователей.
  5. Обнаружили функции, доступные пользователям с минимальными или несоответствующими привилегиями.
  6. Подтвердили возможность получения чувствительных данных, изменения конфигураций и управления ресурсами через API.
  7. Продемонстрировали обход ограничений, реализованных только на уровне пользовательского интерфейса.
  8. Воспроизвели выявленные векторы атак на практике и задокументировали риски.
  9. Подготовили рекомендации по усилению защиты API и серверной логики контроля доступа.

РЕЗУЛЬТАТ

  • Получил объективную оценку реального уровня защищённости веб-приложений
  • Снизил риск компрометации бизнес-данных и сервисов компании
  • Сократил избыточное раскрытие внутренней функциональности системы
  • Получил чёткий план устранения слабых мест веб-приложений и дальнейшего развития процессов безопасной разработки

Подробнее о повышении устойчивости бизнеса за счет тестирования на проникновение, этапах оказания услуги и результатах для вашего бизнеса можно узнать на сайте Simplity. Наши специалисты готовы оперативно проконсультировать!

Бизнес и финансы
1,13 млн интересуются