Анализ веб-приложений

Анализ веб-приложений Веб-приложения всегда представляют собой лакомый кусок для злоумышленников, причём это касается как небольших компаний, так и крупных корпораций.

С помощью эксплуатации уязвимостей, встречающихся в веб-приложении, злоумышленники могут скомпрометировать как само приложение, так и сервисы, связанные с ним.

Более того при наличии серьезных проблем с информационной безопасностью подобные атаки могут быть использованы для компрометации и захвата внутренней инфраструктуры компании для того, чтобы в последствии потребовать выкуп.

Цель:

• Получить независимую оценку состояния веб-приложения
• Выявить скрытые возможности и каналы утечки информации
• Получить подтверждение наличия фактов компрометации и инициировать расследование
• Быстро и оперативно устранить угрозы кибербезопасности
• Получить обоснованный список рекомендаций по устранению угроз

Кейс пример:

У компании Х имеется ряд веб-приложений опубликованных и доступных для общего использования. На одном из таких сервисов реализован механизм аутентификации и авторизации для входа клиентов в личный кабинет. При анализе веб-приложения выяснилось, что помимо этого, есть еще не задокументированное API, которое использовалось разработчиками в момент написания приложения для тестирования и отладки функций.

Приложения уже было в открытом доступе в то время, как API было доступно. Анализируя методы в API, инженеры LeHack установили, можно совершенно свободно получить персональные данные клиентов компании Х, включая ФИО клиента, номер телефона, номер банковской карты и даже паспортные данные.

Благодаря проведению данных работ компания сохранила свои данные в целости и не понесла серьезных финансовых и репутационных издержек, а также защитила данные своих клиентов.