― Проекти
Пентест SaaS-рішення
Бізнес кейс: Тестування на проникнення SaaS-платформи
Замовник: B2B SaaS-платформа для автоматизації процесів обліку та фінансів для малих підприємствЦіль тестування: Виявлення вразливостей, які можуть поставити під загрозу конфіденційність клієнтських даних та стабільність сервісуМетод: Grey Box Penetration TestingТривалість: 10 робочих днів
Що ми зробили
Під час підготовки до тестування наша команда отримала облікові записи з обмеженими правами (роль — “менеджер проекту”) та технічну документацію API. Початковий фокус був на перевірці контролю доступу між користувачами з різними ролями. Один із сценаріїв передбачав аналіз поведінки API при прямому зверненні до ресурсів іншого користувача. В результаті було виявлено вразливість вертикальної ескалації привілеїв.
Знайдена вразливість:
Через відсутність коректної перевірки автентифікації на рівні бекенду, користувач з роллю “менеджер проекту” міг виконати GET-запит до API-ендпоінту, який надає доступ до фінансових звітів іншої компанії, просто змінивши organization_id у запиті.
Результати проведення пентесту
Методики, які ми використовуємо
OWASP Testing Guide - галузевий стандарт тестування безпеки для веб-додатків і пов’язаних технологій.
ISECOM OSSTMM3 - методологія тестування безпеки високого рівня, розроблена та підтримується Інститутом безпеки та відкритих методологій. Використовується як основа для планування, координації та звітності.
NIST SP800-115 - технічна методологія перевірки ІТ-безпеки, обов’язкова для федеральних агентств США. Використовується в рамках автоматизованого сканування вразливостей, аналізу та перевірки.
PTES - інноваційна методологія тестування на проникнення, що розробляється групою провідних світових спеціалістів з тестування на проникнення, аудиту безпеки та соціальної інженерії.
Вам цікаво дізнатися більше про цей кейс чи у вас є подібні потреби безпеки?
Цей кейс яскраво демонструє, що навіть SaaS-рішення з обмеженим рівнем доступу для користувачів можуть бути вразливими до небезпечних сценаріїв ескалації. Тестування на проникнення — не лише про злам, а й про захист репутації та довіри клієнтів.
Моделюючи реальні сценарії атак, ми можемо допомогти компаніям виявити та усунути вразливі місця в їхніх системах, забезпечивши найвищий рівень захисту даних їхніх клієнтів.
Захистіть дані своєї організації та клієнтів, заповнивши форму нижче, щоб надіслати запит на комплексну оцінку вразливостей та тест на проникнення від нашої Red Team. Будьте на крок попереду кіберзагроз і зміцніть свій захист вже сьогодні.
Також, Вас можуть зацікавити такі послуги