Pentest веб-приложения и ремедиация
Провели комплексное тестирование на проникновение финтех-приложения, обнаружили критические уязвимости, помогли с устранением.
Визуальный отчёт pentest: findings, приоритеты и remediation
UI, в котором понятны критичность, шаги исправления и статус повторной проверки.
Как это выглядит
Ниже - визуальные UI-сценарии ключевых экранов проекта: так посетитель может быстро понять, как выглядел бы продукт в реальной работе.
Матрица уязвимостей
Сводка по IDOR, SQLi и сериализации с деталями по шагам воспроизведения.
План ремедиации для команды
Приоритеты, ответственные, дедлайны и статус повторной проверки.
Executive summary
Короткая сводка для CTO и инвесторов без лишнего технического шума.
Задача
Перед раундом инвестиций требовалось подтвердить безопасность платформы. Внутренней экспертизы ИБ не было.
Ограничения
- Сжатые сроки (до due diligence)
- Нельзя нарушать работу production
- Нужен отчёт для инвесторов
Решение
Провели black-box и grey-box тестирование. Обнаружили IDOR, SQL Injection, небезопасную десериализацию. Составили детальный план ремедиации, помогли команде с исправлениями, провели повторное тестирование.
Результаты
| Метрика | До | После | Изменение |
|---|---|---|---|
| Critical/High уязвимости | 8 | 0 | -100% |
| Medium уязвимости | 12 | 2 | -83% |
| Инвестиционный раунд | Под вопросом | Закрыт | ✓ |
Технологии
Артефакты
- Отчёт о тестировании
- План ремедиации
- Executive Summary
- Повторный тест