В 2020 году компания запустила новый цифровой проект — веб-платформу, на которой пользователи могут прослушивать подкасты и аудиошоу. Чтобы оценить экспертизу ICL Services с перспективой дальнейшей работы, в качестве пилотного проекта заказчик обратился к нам для анализа информационной безопасности сервиса.
Задачи
- Оценить уровень защищенности и возможность взлома web-сервиса атаками злоумышленников с помощью пентеста.
- Сформировать рекомендации по устранению слабых мест в защите и проверить их реализацию, чтобы повысить надежность и устойчивость к кибератакам web-сервиса.
- Подготовить отчет о проделанных работах на японском языке.
Проект стартовал осенью 2020 года. В первую очередь, специалисты ICL Services обсудили задачу с заказчиком, договорились о методологиях, доступах, инструментах и приступили к работе.
Тестирование на проникновение было реализовано по методологии «черного ящика»: получив ссылку на ресурс от заказчика, эксперты должны были провести тест с определенных IP-адресов, чтобы был доступ к тестовому стенду.
Функциональность сервиса оказалась несложной – к примеру, в ней не было возможности аутентификации пользователей или оплаты подписки. Тем не менее, инженеры ICL Services обнаружили несколько уязвимостей.
В частности, было выявлено, как злоумышленники могут заставить тестируемый ресурс отправлять произвольные запросы и атаковать другие системы. Специалисты дали рекомендации, как избежать этого, а при повторном тестировании убедились, что заказчик исправил уязвимости.
Результаты
- Проект пентеста был реализован всего лишь за 2 недели.
- Выявили уязвимости и дали рекомендации по их устранению и провели повторный тест.
- Подготовили отчет на японском языке, который подробно описывал каждую уязвимость, как ее эксплуатировать и связанный с ней риск.
- После успешного выполнения пилотного проекта заказчик продолжил сотрудничество с ICL Services по другим направлениям.