+380996133328 [email protected]
ua
ua

Тестування безпеки платформи для викривачів

Клієнт:
Fraudline — компанія, що спеціалізується на рішеннях для етичного управління, корпоративної відповідальності та безпеки
 
Галузь:
RegTech (регуляторні технології)
Фокус:
Захист конфіденційної інформації whistleblowing-платформи
Основний виклик:
Перевірка безпеки вебплатформи та огляд підходу до безпечної розробки — у межах щорічного аудиту
Ринок:
Міжнародний сегмент
Надані послуги:
Gray-box пентест, аудит secure coding, ручний аудит логіки
Ключові висновки
  • Перевірено безпечну обробку конфіденційних звітів і даних
  • Протестовано вручну граничні сценарії бізнес-логіки
  • Виявили 6 технічних вразливостей: 5 низьких та 1 інфо
  • Використали кастомне розширення Burp Suite для обробки сесій
  • Підготували технічний звіт з рекомендаціями та запланували ретест
    • 6
    вразливостей виявлено
    2
    тижні — тривалість тестування
    ​​Burp Suite
    адаптовано під специфіку проєкту
    Тестування безпеки платформи для викривачів
    Трав. 16, 2025
    Чи варто проводити пентест, якщо система працює без збоїв? Варто. Планова перевірка безпеки для компанії Fraudline виявила вразливості у бізнес-логіці та налаштуваннях захисту. Клієнт регулярно тестує платформу, тому потенційні ризики вдалося виявити завчасно.

    ​​Fraudline — міжнародна компанія середнього розміру, що впроваджує рішення для етичного управління, комплаєнсу та корпоративної безпеки. Її продукти підтримують процеси повідомлення про порушення (whistleblowing) згідно з вимогами ЄС.

    Компанія працює у регульованих галузях і дотримується стандартів GDPR, ISO 27001, ISO 37001 та Євродирективи 2019/1937, тому безпека вебплатформи є ключовим пріоритетом.

    Завдання та виклики
    Fraudline звернулася до Datami для проведення планового автоматизованого пентесту вебдодатка. Основною метою була перевірка рівня захищеності платформи, яка обробляє конфіденційні повідомлення про порушення, і пошук вразливостей, які можуть загрожувати репутації або відповідності регуляторним вимогам.
     
    • Провести автоматизований gray-box пентест вебдодатка
    • Виконати огляд підходу безпечної розробки коду
       
    • Надати детальний звіт із рекомендаціями щодо покращення безпеки
    icon
    Penetration testing
    Gray-box тестування з акаунтами адміна та користувача
    icon
    Аудит безпечного кодування
    Огляд політик, процесів і автоматизованих перевірок коду
    icon
    Звіт і рекомендації
    Звіт про виявлені проблеми та рекомендації щодо усунення
    Методологія Datami: Перевірка безпеки Fraudline

    Наш підхід

    Для Fraudline ми провели автоматизований пентест із gray-box підходом. Використали OWASP ZAP і Nessus, а щоб обійти нестандартну авторизацію через HTTP-заголовок, написали та застосували власне розширення для Burp Suite. 

    Після автоматизованого тестування у команди Datami залишився резерв часу, і ми вирішили дати клієнту більше, ніж того вимагав контракт. Тому було додатково проведено ручний аналіз бізнес-логіки (зміна паролів та завантаження файлів). 

    Gray-box

    Gray-box

    Тестування з правами адміністратора та користувача, без доступу до коду
     
    Ключові етапи роботи та рішення

    Під час проєкту Datami провела автоматизоване тестування вебплатформи та інженерно адаптувала процес до нестандартної обробки сесій на стороні клієнта. Паралельно здійснили огляд практик безпечної розробки.

    Додатково після завершення сканування було виконано ручний аналіз бізнес-логіки, зокрема перевірку функціоналу зміни пароля та завантаження файлів.

    • Підготовка
      Аналіз вихідних даних і доступів (юзер/адмін), підбір інструментів тестування, планування сценаріїв перевірки, створення кастомного розширення для обробки сесій у Burp Suite
    • Перевірка безпеки
      Автоматизоване тестування на проникнення, аналіз безпечної розробки та логіки функцій (форма зміни пароля, завантаження файлів).
       
    • Аналіз і звіт
      Структурований звіт із переліком 6 вразливостей (низького та інформаційного рівня), описами ризиків і практичними рекомендаціями щодо усунення.
       
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості

    Результати та рекомендації

    Під час перевірки безпеки вебплатформи Fraudline команда Datami виявила 6 технічних проблем (5 вразливостей низького рівня та 1 інформаційного типу), які здебільшого стосувались логіки авторизації та завантаження файлів.

    Проаналізувавши отримані результати, ми сформували детальний звіт та надали Fraudline рекомендації для покращення цифрової безпеки:

    1. Доопрацювання механізму зміни пароля (вимога введення старого пароля).
    2. Впровадження фільтрації типів файлів для завантаження.
    3. Корекція Content Security Policy.
    4. Підвищення контролю на рівні привілейованих ролей.

    Після впровадження рекомендацій очікуємо зниження ризику витоку даних — для підтвердження ефективності змін заплановано ретест.

    Наші сертифікати

    Ключові результати проєкту

    У результаті співпраці з Datami Fraudline отримала структурований звіт про стан безпеки та чіткий план покращень. 

    Цілі проєкту досягнуті вчасно — за 2 тижні. До того ж у цей строк було виконано додаткові роботи (ручний аналіз бізнес-логіки). 

    Кейс демонструє, що компаніям з етичного комплаєнсу та інформаційної безпеки потрібні регулярні перевірки безпеки для підтримки відповідності стандартам.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Недостатній огляд безпечної розробки, ризики в логіці
    Виявлено 6 вразливостей, надані рекомендації
    Критичні вразливості
    Не виявлено до тесту
    Не виявлено, але усунуто логічні прогалини в механізмах
    Компрометація акаунтів
    Ризик для привілейованих ролей
    Ризик мінімізовано через обмеження функцій
    Відповідність безпеці
    Часткова відповідність очікуванням
    Підвищено прозорість та безпечність функціоналу
    Строки
    Орієнтовно 2 тижні
    Завершено за 2 тижні (разом із понадплановим ручним аналізом)
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Davos Innovation Week 2026: крипто і безпека без компромісів Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami
    Davos Innovation Week 2026: крипто і безпека без компромісів

    Команда Datami взяла участь у Davos Innovation Week 2026, який проходив 19–23 січня, та представила власну експертизу. CGO Datami Олексій Лавренчук виступив з доповіддю про трансформацію кіберризиків.

    Бер. 4, 2026 15 хв.
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie