Проверяем сайты, веб-сервисы и мобильные приложения на уязвимости: код, зависимости, конфигурация и инфраструктура. Мы — студия разработки, поэтому не просто находим дыры, а понимаем, как они появились, и можем сами их закрыть. Работаем по договору с NDA, отчёт — с приоритетами и планом починки, без запугивания и «продажи страха».
Авторизация, платежи, личные кабинеты и работа с персональными данными: ручное код-ревью плюс статический анализ. Смотрим глазами разработчиков — видим не только уязвимость, но и причину, по которой она появилась.
Инъекции, XSS, обход авторизации, доступ к чужим данным (IDOR), CSRF — проверяем, как проект держит самые частые векторы атак на веб-приложения.
Устаревшие пакеты и известные CVE в зависимостях проекта. На выходе — план обновления с учётом совместимости, а не просто список «обновите всё».
Ключи и пароли в коде и истории git, права доступа, CORS, заголовки безопасности, настройки cookie и сессий — то, что чаще всего забывают при запуске в спешке.
HTTPS/TLS, доступы к базе данных и бэкапы, шифрование чувствительных данных, секреты в логах. Проверяем окружение, в котором живёт продукт, а не только сам код.
Самое дорогое в безопасности — то, что не находит ни один сканер: обход оплаты, доступ к чужим данным сменой id (IDOR), гонки запросов, эскалация прав, цепочки из «мелких» дыр в полный захват аккаунта. Это ручная работа под ваш конкретный продукт.
Отдельное направление, где мы сильны как разработчики ИИ-платформ: prompt injection, утечка системного промпта, обход гардов и джейлбрейк, отравление RAG-базы. Проверяем, что ваш чат-бот или голосовой агент нельзя заставить слить данные или действовать против бизнеса.
Понятный отчёт от критичных находок к незначительным: где уязвимость, чем грозит и как чинить. После исправлений — перепроверяем. Можем устранить сами: мы студия разработки, а не только аудиторы.
Ответьте ассистенту на 3 вопроса — подготовим расчёт и предложение под вашу задачу и бюджет.
Получить расчёт проекта