Заказчик — крупная государственная организация.
Задачи проекта
Заказчик обратился к нам с просьбой проверить защищённость клиент-серверной системы продаж. Поскольку сервисы предоставлялись дистанционно, требовалось подтверждение безопасности архитектуры и клиент-серверного взаимодействия.
Решение
Мы провели:
-
обратную разработку программного обеспечения клиентского терминала продаж;
-
инструментальное исследование веб-интерфейса;
-
пентест серверной части;
-
фаззинг серверной части.
Результаты
Нам удалось разработать методику фаззинга, которая гарантированно вызывала сбои в работе сервера. А при помощи ряда уязвимостей в клиентском ПО мы смогли менять информацию на терминале, отправлять на сервер изменённые данные и клонировать терминалы.
Похожие проекты
Исследование уровня защищённости мобильного приложения по продаже интерактивного контента
Заказчик — разработчик федеральной платформы по распространению интерактивного контента для российских учебных заведений.
Заказчику потребовалось исследовать мобильное приложение для Android, iOS и Windows на предмет рисков, связанных с кражей и неправомерным использованием интеллектуальной собственности.
Пентест веб-ресурсов Автоторгбанка
Цель данного исследования — симулировать атаки потенциального нарушителя на веб-ресурсы банка, оценить уровень их защищённости, обнаружить уязвимости, разработать рекомендации по их устранению.
Аудит программного обеспечения для «Эльдорадо»
Заказчик — ООО «Эльдорадо», один из крупнейших розничных продавцов электроники и бытовой техники в России.Задачей исследователей было проверить текущий уровень защищённости ПО.