Заказчик — крупная государственная организация.
Задачи проекта
Заказчик обратился к нам с просьбой проверить защищённость клиент-серверной системы продаж. Поскольку сервисы предоставлялись дистанционно, требовалось подтверждение безопасности архитектуры и клиент-серверного взаимодействия.
Решение
Мы провели:
-
обратную разработку программного обеспечения клиентского терминала продаж;
-
инструментальное исследование веб-интерфейса;
-
пентест серверной части;
-
фаззинг серверной части.
Результаты
Нам удалось разработать методику фаззинга, которая гарантированно вызывала сбои в работе сервера. А при помощи ряда уязвимостей в клиентском ПО мы смогли менять информацию на терминале, отправлять на сервер изменённые данные и клонировать терминалы.
![](/upload/iblock/c2b/c2b56ea7b5ce996de5228ad27545e59c.png)