«Спикател» выпустил платформу непрерывного пентеста «Экспат»

«Спикател» выпустила облачный сервис «Экспат» для автоматической проверки веб-приложений и API на уязвимости. Платформа находит не только классические ошибки вроде инъекций и XSS, но и более сложные проблемы — в бизнес-логике, сторонних компонентах, а также сценарии подделки запросов, контрабанды HTTP-пакетов и отравления кэша.

Для запуска проверки достаточно указать адрес сайта или API. Сервис самостоятельно анализирует структуру приложения, выполняет проверку по базе из более чем 2 500 сценариев и формирует отчет с рекомендациями по устранению уязвимостей. Сканирование поддерживает параллельную обработку до 30 проверок одновременно.

Отдельные модули «Экспата» анализируют сторонние библиотеки, скрипты и зависимости, а также внутреннюю бизнес-логику приложения. По оценке компании, именно такие уязвимости дают до 70% критических находок, тогда как стандартные сканеры их обычно не выявляют.

Платформа встроена в процессы разработки, поддерживает форматы PDF, HTML, SARIF и JSON и может использоваться как до релиза, так и после вывода продукта в эксплуатацию. Все данные обрабатываются и хранятся в России.

«Многие компании узнают об уязвимостях своих приложений только после реальных атак. Обычные сканеры ищут инъекции и проверяют заголовки, но не понимают, как приложение работает изнутри. «Экспат» смотрит на приложение так же, как на него смотрит злоумышленник: проверяет бизнес-логику, зависимости, нестандартные сценарии», — комментирует технический директор «Спикатела» Евгений Пудовкин.

MAX — https://max.ru/id771377261033_biz
Telegram — https://t.me/divannyi_it