



Пентест сайта и веб-приложений: тестирование на проникновение, аудит информационной безопасности. Находим уязвимости, оцениваем риски, даём отчёт с планом защиты.
Большинство взломов — не целевые атаки, а автоматический перебор известных уязвимостей по тысячам сайтов сразу. Устаревшая CMS, забытая тестовая страница, слабый пароль администратора — и вот уже база клиентов утекла, на сайте чужая реклама, а домен в чёрных списках. Для компаний, работающих с персональными данными, добавляется юридический риск: штрафы за утечку растут с каждым годом.
Пентест отвечает на вопрос «что увидит и сможет сделать реальный злоумышленник» до того, как это проверит кто-то недобрый. Для самостоятельной экспресс-проверки мы публиковали чек-лист аудита безопасности сайта — начните с него.
Работаем по методологиям OWASP: инъекции, обход авторизации, XSS, небезопасные прямые ссылки на объекты, уязвимости бизнес-логики — например, возможность оформить заказ с чужой скидкой или посмотреть чужие документы, перебирая номера в адресе. Проверяем серверное окружение: открытые порты, версии ПО, настройки TLS, права доступа. По согласованию — социотехническое тестирование: фишинговая рассылка сотрудникам показывает реальный уровень цифровой гигиены в компании.
Все работы ведутся по договору с NDA, в согласованные окна времени и без разрушающих воздействий: цель — найти дыры, а не устроить простой.
Результат — не пугающая таблица на сорок страниц, а рабочий документ: каждая уязвимость с оценкой критичности по CVSS, шагами воспроизведения и конкретной рекомендацией по исправлению. Отдельное резюме для руководства — какие риски закрыть в первую очередь и что это стоит. После исправлений бесплатно перепроверяем закрытые уязвимости.
Типовой аудит занимает две—три недели. Если своей команды разработки нет, исправим найденное сами — в рамках поддержки и доработки сайта. Регулярный пентест раз в год или после крупных релизов — норма для сервисов, работающих с деньгами и персональными данными.
«Мы маленькие, нас не тронут» — самый опасный миф: автоматические сканеры не выбирают жертв по размеру, они перебирают все сайты подряд. «У нас есть антивирус и файрвол» — периметр не спасает от уязвимости в самом приложении: SQL-инъекция проходит через любой файрвол легитимным HTTP-запросом. «Разработчики написали безопасно» — даже сильные команды ошибаются, потому что смотрят на код глазами создателя, а не атакующего.
Ещё один миф — «пентест сломает продакшен». Профессиональное тестирование ведётся по согласованному регламенту: разрушающие проверки — только на копии, работы — в согласованные окна, каждый шаг журналируется. За все годы практики ни один наш аудит не привёл к простою клиентского сервиса.
Сканер находит только известные дыры по базе сигнатур. Пентестер вручную комбинирует уязвимости, обходит защиту и показывает реальный сценарий взлома: например, как из XSS в форме комментария добраться до базы клиентов. Отчёт содержит доказательства, а не список «возможных проблем».
От 95 000 ₽ за веб-приложение среднего размера: внешний пентест, проверка по OWASP Top 10, анализ авторизации и API. Объём и границы тестирования фиксируем в договоре до начала работ.
Работаем по согласованному регламенту: деструктивные проверки — только на копии или в согласованные окна. Все действия логируются. За годы практики ни один продакшн-сервис клиента не пострадал от наших проверок.
Отчёт с уязвимостями по критичности, доказательствами эксплуатации и пошаговыми рекомендациями по устранению. После ваших исправлений бесплатно перепроверяем закрытые дыры и выдаём итоговое заключение — его можно показывать партнёрам и аудиторам.
Опишите задачу — подберём решение и рассчитаем стоимость за 5 минут.
Каталог проверенных IT-услуг для бизнеса: разработка, дизайн, DevOps, безопасность и аналитика. Работаем по договору по всей России.