OSINT

Анализ веб-приложений

Анализ веб-приложений Веб-приложения всегда представляют собой лакомый кусок для злоумышленников, причём это касается как небольших компаний, так и крупных корпораций.

С помощью эксплуатации уязвимостей, встречающихся в веб-приложении, злоумышленники могут скомпрометировать как само приложение, так и сервисы, связанные с ним.

Более того при наличии серьезных проблем с информационной безопасностью подобные атаки могут быть использованы для компрометации и захвата внутренней инфраструктуры компании для того, чтобы в последствии потребовать выкуп.

Цель:

  • Получить независимую оценку состояния веб-приложения
  • Выявить скрытые возможности и каналы утечки информации
  • Получить подтверждение наличия фактов компрометации и инициировать расследование
  • Быстро и оперативно устранить угрозы кибербезопасности
  • Получить обоснованный список рекомендаций по устранению угроз

Кейс пример:

У компании Х имеется ряд веб-приложений опубликованных и доступных для общего использования. На одном из таких сервисов реализован механизм аутентификации и авторизации для входа клиентов в личный кабинет. При анализе веб-приложения выяснилось, что помимо этого, есть еще не задокументированное API, которое использовалось разработчиками в момент написания приложения для тестирования и отладки функций.

Приложения уже было в открытом доступе в то время, как API было доступно. Анализируя методы в API, инженеры LeHack установили, можно совершенно свободно получить персональные данные клиентов компании Х, включая ФИО клиента, номер телефона, номер банковской карты и даже паспортные данные.

Благодаря проведению данных работ компания сохранила свои данные в целости и не понесла серьезных финансовых и репутационных издержек, а также защитила данные своих клиентов.

Информация об услуге

  • Результат: Отчет
  • Объект исследования: Внешние ресурсы
  • Время выполнения: 15 дней
  • Презентация: Загрузить