+380996133328 [email protected]
ua
ua

Тестування безпеки платформи для викривачів

Клієнт:
Fraudline — компанія, що спеціалізується на рішеннях для етичного управління, корпоративної відповідальності та безпеки
 
Галузь:
RegTech (регуляторні технології)
Фокус:
Захист конфіденційної інформації whistleblowing-платформи
Основний виклик:
Перевірка безпеки вебплатформи та огляд підходу до безпечної розробки — у межах щорічного аудиту
Ринок:
Міжнародний сегмент
Надані послуги:
Gray-box пентест, аудит secure coding, ручний аудит логіки
Ключові висновки
  • Перевірено безпечну обробку конфіденційних звітів і даних
  • Протестовано вручну граничні сценарії бізнес-логіки
  • Виявили 6 технічних вразливостей: 5 низьких та 1 інфо
  • Використали кастомне розширення Burp Suite для обробки сесій
  • Підготували технічний звіт з рекомендаціями та запланували ретест
    • 6
    вразливостей виявлено
    2
    тижні — тривалість тестування
    ​​Burp Suite
    адаптовано під специфіку проєкту
    Тестування безпеки платформи для викривачів
    Трав. 16, 2025
    Чи варто проводити пентест, якщо система працює без збоїв? Варто. Планова перевірка безпеки для компанії Fraudline виявила вразливості у бізнес-логіці та налаштуваннях захисту. Клієнт регулярно тестує платформу, тому потенційні ризики вдалося виявити завчасно.

    ​​Fraudline — міжнародна компанія середнього розміру, що впроваджує рішення для етичного управління, комплаєнсу та корпоративної безпеки. Її продукти підтримують процеси повідомлення про порушення (whistleblowing) згідно з вимогами ЄС.

    Компанія працює у регульованих галузях і дотримується стандартів GDPR, ISO 27001, ISO 37001 та Євродирективи 2019/1937, тому безпека вебплатформи є ключовим пріоритетом.

    Завдання та виклики
    Fraudline звернулася до Datami для проведення планового автоматизованого пентесту вебдодатка. Основною метою була перевірка рівня захищеності платформи, яка обробляє конфіденційні повідомлення про порушення, і пошук вразливостей, які можуть загрожувати репутації або відповідності регуляторним вимогам.
     
    • Провести автоматизований gray-box пентест вебдодатка
    • Виконати огляд підходу безпечної розробки коду
       
    • Надати детальний звіт із рекомендаціями щодо покращення безпеки
    icon
    Penetration testing
    Gray-box тестування з акаунтами адміна та користувача
    icon
    Аудит безпечного кодування
    Огляд політик, процесів і автоматизованих перевірок коду
    icon
    Звіт і рекомендації
    Звіт про виявлені проблеми та рекомендації щодо усунення
    Методологія Datami: Перевірка безпеки Fraudline
    Наш підхід

    Для Fraudline ми провели автоматизований пентест із gray-box підходом. Використали OWASP ZAP і Nessus, а щоб обійти нестандартну авторизацію через HTTP-заголовок, написали та застосували власне розширення для Burp Suite. 

    Після автоматизованого тестування у команди Datami залишився резерв часу, і ми вирішили дати клієнту більше, ніж того вимагав контракт. Тому було додатково проведено ручний аналіз бізнес-логіки (зміна паролів та завантаження файлів). 

    Gray-box
    Gray-box
    Тестування з правами адміністратора та користувача, без доступу до коду
     
    Ключові етапи роботи та рішення

    Під час проєкту Datami провела автоматизоване тестування вебплатформи та інженерно адаптувала процес до нестандартної обробки сесій на стороні клієнта. Паралельно здійснили огляд практик безпечної розробки.

    Додатково після завершення сканування було виконано ручний аналіз бізнес-логіки, зокрема перевірку функціоналу зміни пароля та завантаження файлів.

    • Підготовка
      Аналіз вихідних даних і доступів (юзер/адмін), підбір інструментів тестування, планування сценаріїв перевірки, створення кастомного розширення для обробки сесій у Burp Suite
    • Перевірка безпеки
      Автоматизоване тестування на проникнення, аналіз безпечної розробки та логіки функцій (форма зміни пароля, завантаження файлів).
       
    • Аналіз і звіт
      Структурований звіт із переліком 6 вразливостей (низького та інформаційного рівня), описами ризиків і практичними рекомендаціями щодо усунення.
       
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості
    Результати та рекомендації

    Під час перевірки безпеки вебплатформи Fraudline команда Datami виявила 6 технічних проблем (5 вразливостей низького рівня та 1 інформаційного типу), які здебільшого стосувались логіки авторизації та завантаження файлів.

    Проаналізувавши отримані результати, ми сформували детальний звіт та надали Fraudline рекомендації для покращення цифрової безпеки:

    1. Доопрацювання механізму зміни пароля (вимога введення старого пароля).
    2. Впровадження фільтрації типів файлів для завантаження.
    3. Корекція Content Security Policy.
    4. Підвищення контролю на рівні привілейованих ролей.

    Після впровадження рекомендацій очікуємо зниження ризику витоку даних — для підтвердження ефективності змін заплановано ретест.

    Наші сертифікати
    Ключові результати проєкту

    У результаті співпраці з Datami Fraudline отримала структурований звіт про стан безпеки та чіткий план покращень. 

    Цілі проєкту досягнуті вчасно — за 2 тижні. До того ж у цей строк було виконано додаткові роботи (ручний аналіз бізнес-логіки). 

    Кейс демонструє, що компаніям з етичного комплаєнсу та інформаційної безпеки потрібні регулярні перевірки безпеки для підтримки відповідності стандартам.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Недостатній огляд безпечної розробки, ризики в логіці
    Виявлено 6 вразливостей, надані рекомендації
    Критичні вразливості
    Не виявлено до тесту
    Не виявлено, але усунуто логічні прогалини в механізмах
    Компрометація акаунтів
    Ризик для привілейованих ролей
    Ризик мінімізовано через обмеження функцій
    Відповідність безпеці
    Часткова відповідність очікуванням
    Підвищено прозорість та безпечність функціоналу
    Строки
    Орієнтовно 2 тижні
    Завершено за 2 тижні (разом із понадплановим ручним аналізом)
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Перевірка безпеки медичної платформи DonorUA

    Перевірка безпеки медичної платформи DonorUA

    • Надано звіт з рекомендаціями для зміцнення захисту.
    • Підтверджено відсутність критичних загроз для безпеки.
    Послуги:
    Пентест вебдодатків (Black-box)
    Лист. 18, 2025
    Протокол безпеки для компанії INOI

    Протокол безпеки для компанії INOI

    • Розроблено персоналізований протокол безпеки
    • Підвищено готовність компанії до кризових ситуацій
    Послуги:
    Розробка Security Protocol – консалтинг кібербезпеки
    Лист. 7, 2025
    Перевірка кібербезпеки платформи опитувань

    Перевірка кібербезпеки платформи опитувань

    • Перевірено три сценарії онлайн-опитувань
    • Покращено загальний рівень кібербезпеки
    Послуги:
    Лист. 5, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Програма-вимагач KillSec атакує охорону здоров'я Datami Newsroom
    Datami Newsroom

    Програма-вимагач KillSec атакує охорону здоров'я

    Хакерська група KillSec останнім часом активно атакує IT-системи галузі охорони здоров’я Латинської Америки та інших країн – зловмисники вже викрали десятки гігабайтів і майже 95 000 файлів.

    Лист. 18, 2025
    Datami на MERGE Madrid та EBC 25 Datami Newsroom
    Datami Newsroom

    Datami на MERGE Madrid та EBC 25

    Команда Datami побувала на MERGE Madrid та European Blockchain Convention 2025, щоб поділитися досвідом і побачити, як змінюється Web3. Цього року більше говорили про реальні рішення – безпеку, аудит і прозорі стандарти, які формують новий ритм індустрії.

    Лист. 13, 2025 3 хв.
    Типи кібератак Олександр Філіпов
    Олександр Філіпов

    Типи кібератак

    Щоб ефективно захистити дані та системи, важливо розуміти, які існують типи кібератак і як вони працюють. У цій статті розглянемо основні види атак та з’ясуємо, як уберегти від них свій бізнес.

    Лист. 6, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie