Пентест сайта и веб-приложения
Проводим тестирование на проникновение сайтов, API и веб-приложений: OWASP Top 10, бизнес-логика, отчет и план устранения.
Оценка проекта
Когда это нужно
- Нужно проверить сайт перед запуском или инвестраундом
- Есть личный кабинет, платежи, API или роли пользователей
- Требуется отчет для руководства, ИБ или заказчика
- Нужно найти не только CVE, но и ошибки бизнес-логики
Что входит
- Black-box или grey-box тестирование
- Проверка OWASP Top 10, auth, IDOR, SQLi, XSS, SSRF
- Анализ бизнес-логики и ролей
- Безопасная эксплуатация без нарушения production
- Отчет с рисками, доказательствами и рекомендациями
- Повторная проверка после исправлений по договоренности
Какой результат получит бизнес
Понятная карта уязвимостей и приоритетов
Снижение риска утечки данных и простоя
Аргументированный отчет для управленческих решений
Процесс
Скоуп и правила
Фиксируем границы, окна тестирования, учетные записи и запреты.
Тестирование
Проверяем технические уязвимости, API, роли и бизнес-сценарии.
Отчет и remediation
Передаем отчет, обсуждаем план исправлений и повторную проверку.
Релевантные кейсы
Визуальный отчёт pentest: findings, приоритеты и remediation
UI, в котором понятны критичность, шаги исправления и статус повторной проверки.
Pentest веб-приложения и ремедиация
Провели комплексное тестирование на проникновение финтех-приложения, обнаружили критические уязвимости, помогли с устранением.
Панель аудита мобильного банка: устройство, API и compliance
Показывает находки, угрозы и карту соответствия требованиям релиза.
Аудит безопасности мобильного банка
Провели комплексный аудит безопасности мобильного банковского приложения: статический и динамический анализ, API тестирование.
Что почитать
Pentest vs vulnerability scan: в чём разница
Объясняем разницу между сканированием уязвимостей и полноценным тестированием на проникновение.
Чек-лист запуска сайта: SEO, безопасность, скорость
Полный чек-лист для проверки сайта перед запуском: от метатегов до SSL и производительности.