5
Ноя
2020

Результаты тестирования защищенности платформы «Первая Форма»

«Первая Форма» прошла очередную независимую проверку защищенности платформы — тестирование на проникновение от компании DeteAct.

Для наших клиентов безопасное хранение и обработка конфиденциальной информации является критичным требованием. Поэтому мы регулярно проводим независимые проверки защищенности платформы «Первая Форма». Для более эффективного тестирования мы привлекаем внешние организации с  высокой экспертностью в кибербезопасности.  Этим летом мы привлекали для очередного аудита безопасности компанию DeteAct (ООО «Непрерывные технологии»), которая выполняла тестирование платформы «Первая Форма» на проникнвение извне.

Поставленные задачи

Задачей тестирования было выявление недостатков и уязвимостей в платформе «Первая Форма», позволяющих похитить критичные данные из системы или повлиять на бизнес-процессы. При этом рассматривались различные модели нарушителя — как гостевого пользователя, так и пользователя со значительными привилегиями.

В целях повышения полноты исследования команде DeteAct был передан доступ к исходным текстам продукта, так что анализ происходил в режиме «белого ящика».

Описание работ

Работы проведены в мае-июне 2020 и заняли около трех недель. В результате тестирования были обнаружены недостатки среднего уровня риска, но полностью скомпрометировать систему за отведённое время не удалось. Благодаря слаженному взаимодействию с разработчиками все обнаруженные уязвимости были исправлены в ходе выполнения работ.

В системах такого уровня сложности, как «Первая Форма», обычно бывает большое количество критических уязвимостей. На первый взгляд мы ожидали того же, но в ходе работ увидели сочетание правильных программистских решений и удачного выбора технологического стека, которое предотвратило множество типичных недостатков.

Омар Ганиев, генеральный директор ООО «Непрерывные технологии»

Благодаря сотрудничеству мы получили независимую оценку информационной безопасности платформы и список обнаруженных недостатков с конкретными рекомендациями по их исправлению. В итоге мы смогли повысить уровень защищенности системы, а также доработали подходы к дальнейшему самостоятельному исправлению недостатков и совершенствованию процесса безопасной разработки.


DeteAct (ООО «Непрерывные технологии») — это эффективная команда экспертов в области информационной безопасности, предоставляющая услуги по анализу защищённости,  тестированию на проникновение, построению процессов безопасной разработки и консультированию по вопросам практической ИБ. В проектах участвуют хакеры высокого уровня: пентестеры, криптографы, реверс-инженеры, включая многократных чемпионов мира по соревновательному хакингу. В портфолио компании клиенты из более чем 10 стран,  включая США, страны Европы и СНГ, Сингапур, Китай.