CASE:
РЕГИОНБАНК
Комплексный Pen-test (Black Box), внедрение WAF и подготовка инфраструктуры к стандарту ISO 27001.
Методология
Black Box
Мы действовали как внешние злоумышленники, не имея доступа к исходному коду или учетным данным. Цель — найти «вход» до того, как это сделают реальные хакеры.
- Сканирование периметра сети
- Анализ API мобильного банка
- Социальная инженерия (тест персонала)
Обнаружение и Устранение
Критические точки, закрытые нашей командой
SQL Injection
Обнаружена уязвимость в личном кабинете юрлиц, позволяющая получить доступ к базе данных клиентов.
РЕШЕНИЕ:
Внедрение Prepared Statements на уровне backend, настройка фильтрации WAF.
Insecure Storage
Мобильное приложение сохраняло токены сессий в незашифрованном виде в локальном хранилище.
РЕШЕНИЕ:
Переход на использование Keystore/Keychain с шифрованием AES-256.
DDoS Vulnerability
Канал связи падал при нагрузке свыше 10k RPS, блокируя доступ легитимным пользователям.
РЕШЕНИЕ:
Интеграция облачной защиты от DDoS L7 и гео-фильтрация трафика.
Инструментарий аудита
Безопасность — это процесс
Готовы проверить защиту вашего бизнеса до того, как это сделают конкуренты?
ИП Шахулов Н.Р | Волгоград, пл. Дзержинского д.1
Пн-Пт 9:00 - 17:00
Адрес
г.Волгоград, ул. площадь Дзержинского д1, кб 106