ua

Тестування безпеки платформи для викривачів

Клієнт:
Fraudline — компанія, що спеціалізується на рішеннях для етичного управління, корпоративної відповідальності та безпеки
 
Галузь:
RegTech
Фокус:
Захист конфіденційної інформації whistleblowing-платформи
Основний виклик:
Перевірка безпеки вебплатформи та огляд підходу до безпечної розробки — у межах щорічного аудиту
Ринок:
Міжнародний сегмент
Надані послуги:
Gray-box пентест, аудит secure coding, ручний аудит логіки
Ключові висновки
  • Перевірено безпечну обробку конфіденційних звітів і даних
  • Протестовано вручну граничні сценарії бізнес-логіки
  • Виявили 6 технічних вразливостей: 5 низьких та 1 інфо
  • Використали кастомне розширення Burp Suite для обробки сесій
  • Підготували технічний звіт з рекомендаціями та запланували ретест
  • 6
    вразливостей виявлено
    2
    тижні — тривалість тестування
    ​​Burp Suite
    адаптовано під специфіку проєкту
    Тестування безпеки платформи для викривачів
    Чи варто проводити пентест, якщо система працює без збоїв? Варто. Планова перевірка безпеки для компанії Fraudline виявила вразливості у бізнес-логіці та налаштуваннях захисту. Клієнт регулярно тестує платформу, тому потенційні ризики вдалося виявити завчасно.

    ​​Fraudline — міжнародна компанія середнього розміру, що впроваджує рішення для етичного управління, комплаєнсу та корпоративної безпеки. Її продукти підтримують процеси повідомлення про порушення (whistleblowing) згідно з вимогами ЄС.

    Компанія працює у регульованих галузях і дотримується стандартів GDPR, ISO 27001, ISO 37001 та Євродирективи 2019/1937, тому безпека вебплатформи є ключовим пріоритетом.

    Завдання та виклики
    Fraudline звернулася до Datami для проведення планового автоматизованого пентесту вебдодатка. Основною метою була перевірка рівня захищеності платформи, яка обробляє конфіденційні повідомлення про порушення, і пошук вразливостей, які можуть загрожувати репутації або відповідності регуляторним вимогам.
     
    • Провести автоматизований gray-box пентест вебдодатка
    • Виконати огляд підходу безпечної розробки коду
       
    • Надати детальний звіт із рекомендаціями щодо покращення безпеки
    icon
    Penetration testing
    Gray-box тестування з акаунтами адміна та користувача
    icon
    Аудит безпечного кодування
    Огляд політик, процесів і автоматизованих перевірок коду
    icon
    Звіт і рекомендації
    Звіт про виявлені проблеми та рекомендації щодо усунення

    Наш підхід

    Для Fraudline ми провели автоматизований пентест із gray-box підходом. Використали OWASP ZAP і Nessus, а щоб обійти нестандартну авторизацію через HTTP-заголовок, написали та застосували власне розширення для Burp Suite. 

    Після автоматизованого тестування у команди Datami залишився резерв часу, і ми вирішили дати клієнту більше, ніж того вимагав контракт. Тому було додатково проведено ручний аналіз бізнес-логіки (зміна паролів та завантаження файлів). 

    Gray-box

    Gray-box

    Тестування з правами адміністратора та користувача, без доступу до коду
     
    Ключові етапи роботи та рішення

    Під час проєкту Datami провела автоматизоване тестування вебплатформи та інженерно адаптувала процес до нестандартної обробки сесій на стороні клієнта. Паралельно здійснили огляд практик безпечної розробки.

    Додатково після завершення сканування було виконано ручний аналіз бізнес-логіки, зокрема перевірку функціоналу зміни пароля та завантаження файлів.

    • Підготовка
      Аналіз вихідних даних і доступів (юзер/адмін), підбір інструментів тестування, планування сценаріїв перевірки, створення кастомного розширення для обробки сесій у Burp Suite
    • Перевірка безпеки
      Автоматизоване тестування на проникнення, аналіз безпечної розробки та логіки функцій (форма зміни пароля, завантаження файлів).
       
    • Аналіз і звіт
      Структурований звіт із переліком 6 вразливостей (низького та інформаційного рівня), описами ризиків і практичними рекомендаціями щодо усунення.
       
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    Під час перевірки безпеки вебплатформи Fraudline команда Datami виявила 6 технічних проблем (5 вразливостей низького рівня та 1 інформаційного типу), які здебільшого стосувались логіки авторизації та завантаження файлів.

    Проаналізувавши отримані результати, ми сформували детальний звіт та надали Fraudline рекомендації для покращення цифрової безпеки:

    1. Доопрацювання механізму зміни пароля (вимога введення старого пароля).
    2. Впровадження фільтрації типів файлів для завантаження.
    3. Корекція Content Security Policy.
    4. Підвищення контролю на рівні привілейованих ролей.

    Після впровадження рекомендацій очікуємо зниження ризику витоку даних — для підтвердження ефективності змін заплановано ретест.

    Наші сертифікати

    Datami – компанія з кібербезпеки, кваліфікація якої підтверджена 26 сертифікаціями та міжнародними стандартами. Це дозволяє нам виконувати завдання різної складності, дотримуючись вимог до безпеки, конфіденційності та етичних практик.
    Ключові результати проєкту

    У результаті співпраці з Datami Fraudline отримала структурований звіт про стан безпеки та чіткий план покращень. 

    Цілі проєкту досягнуті вчасно — за 2 тижні. До того ж у цей строк було виконано додаткові роботи (ручний аналіз бізнес-логіки). 

    Кейс демонструє, що компаніям з етичного комплаєнсу та інформаційної безпеки потрібні регулярні перевірки безпеки для підтримки відповідності стандартам.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Недостатній огляд безпечної розробки, ризики в логіці
    Виявлено 6 вразливостей, надані рекомендації
    Критичні вразливості
    Не виявлено до тесту
    Не виявлено, але усунуто логічні прогалини в механізмах
    Компрометація акаунтів
    Ризик для привілейованих ролей
    Ризик мінімізовано через обмеження функцій
    Відповідність безпеці
    Часткова відповідність очікуванням
    Підвищено прозорість та безпечність функціоналу
    Строки
    Орієнтовно 2 тижні
    Завершено за 2 тижні (разом із понадплановим ручним аналізом)
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Впровадження SIEM Wazuh для фінансової компанії
    Впровадження SIEM Wazuh для фінансової компанії
    • Забезпечено готовність до аудиту PCI DSS та ISO 27001
    • Кількість хибних спрацювань знижено на 60–70%
    Послуги:
    Впровадження SIEM (Wazuh)
    Лип. 1, 2026
    Аудит безпеки блокчейн-проєкту
    Аудит безпеки блокчейн-проєкту
    • Перевірено 9000+ рядків Rust-коду.
    • Проєкт сертифіковано Datami для криптопроєктів
    Послуги:
    Blockchain Security Audit
    Черв. 30, 2026
    Впровадження SOC для ІТ-компанії
    Впровадження SOC для ІТ-компанії
    • Налаштовано 47 сценаріїв виявлення, 25 сценаріїв реагування
    • Відповідність ISO 27001 підвищено з 32% до 94%
    Послуги:
    SOC / SIEM Implementation
    Черв. 30, 2026
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Пентест мобільних додатків: захист від шкідливих застосунків Олександр Філіпов
    Олександр Філіпов
    Пентест мобільних додатків: захист від шкідливих застосунків

    Шкідливі мобільні додатки атакують не лише смартфон — вони цілеспрямовано використовують вразливості вашого застосунку. Читайте, як пентест виявляє ці слабкі місця до того, як ними скористається зловмисник.

    15 хв. Черв. 30, 2026
    Топ проблем кібербезпеки бізнесу Олександр Філіпов
    Олександр Філіпов
    Топ проблем кібербезпеки бізнесу

    З якими проблемами кібербезпеки найчастіше стикається бізнес? У цій статті розглядаємо топ-9 найпоширеніших типів проблем за рівнем критичності та даємо рекомендації щодо їх усунення.

    3 хв. Трав. 4, 2026
    Що таке інцидент кібербезпеки? Олександр Філіпов
    Олександр Філіпов
    Що таке інцидент кібербезпеки?

    Кіберінциденти давно перестали бути головним болем лише великих корпорацій і державних структур. Сьогодні це звичайна частина цифрової реальності, з якою стикаються компанії будь-якого масштабу.

    3 хв. Трав. 4, 2026
    Замовте консультацію
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie