Проверка безопасности систем

Найдём дыры в вашей
системе — до того,
как это сделают за вас

Tibex — команда наступательной безопасности. Мы проводим глубокий pentest продукта: API, платёжную логику, авторизацию и инфраструктуру — и выдаём отчёт с приоритетами и готовым планом исправления.

Owner-attested black-box + authСтрого конфиденциальноОтчёт за 72 часа
tibex-cli — scan session
300+endpoints за один аудит
9модулей сканирования + ручной анализ
72чдо черновика отчёта
0находок без PoC и рекомендации
§1

Что мы находим

Категории уязвимостей, которые системно закрывает каждый аудит Tibex — от платёжной логики до конфигурации инфраструктуры.

01Critical

Обход платёжной логики

Подтверждение оплаты без реального перевода, генерация чужих платёжных ссылок, обход триал-лимитов.

02Critical

BOLA / IDOR

Доступ к чужим записям и объектам по прямой ссылке — чтение, изменение, удаление данных других пользователей.

03Critical

Утечка PII

Персональные данные, контакты и документы, доступные без авторизации через незащищённые API.

04High

BFLA и эскалация privileges

Функции администратора, доступные обычному пользователю из-за отсутствия проверки роли.

05High

Слабая аутентификация

Долгоживущие токены без отзыва, отсутствие rate limit на login, предсказуемые сессии.

06High

Инъекции и подмена данных

Email/SES injection, инъекция фейковых отзывов и заявок, подмена вебхуков без проверки подписи.

07Medium

Конфигурация и CORS

Небезопасные CORS-политики, открытые admin-панели, публичные схемы API и debug-режимы в проде.

08Low

Раскрытие информации

Служебные эндпоинты, документация и метаданные, которые не должны быть публичными.

§2

Как мы это делаем

Owner-attested black-box + authenticated pentest — методология из пяти шагов, доведённая до PoC на каждую находку.

01

Разведка

Картирование поддоменов, JS-бандлов и OpenAPI-схемы. Строим полную карту поверхности атаки перед тем, как коснуться первого запроса.

02

Сканирование

tibex CLI прогоняет 9 модулей: auth, BOLA/IDOR, payments, CORS, rate-limit, инъекции — по каждому endpoint из карты.

03

Ручная эксплуатация

Каждая находка подтверждается вручную на тестовых аккаунтах: рабочий PoC, а не предположение сканера.

04

Приоритизация

CVSS-оценка и план исправления по срокам — от «немедленно» для критики до двух недель на системные проблемы.

05

Ретест

После фиксов проверяем каждую находку повторно и закрываем её в отчёте статусом Fixed.

§3

Так выглядит находка

Фрагмент реального формата отчёта Tibex — обезличенный пример на демо-домене, без данных клиентов.

Таблица находок · demo.tibex.report
TBX-C1Обход подтверждения оплаты9.8
TBX-C2BOLA: чтение чужих записей9.0
TBX-H1JWT без отзыва, TTL 365 дней7.1
TBX-M1CORS misconfiguration5.0
12Critical
12High
8Medium
0Low
TBX-C1Critical
CVSS 9.8

Обход подтверждения оплаты без авторизации

Описание: callback-эндпоинт, предназначенный только для сервера платёжного провайдера, доступен любому вызывающему. Подтверждена полная цепочка: создание заказа → подтверждение оплаты, без проверки подписи запроса.

Endpoint: POST /api/payment/confirm

# подтверждение оплаты без auth и без подписи
curl "https://api.example.com/payment/confirm?order=41207&sum=14990&status=paid"
# -> {"result": 1}

Влияние: бесплатный доступ к платным подпискам — система засчитывает оплату как полученную без реального перевода средств.

Рекомендация

Ограничить callback по IP провайдера, добавить проверку криптографической подписи и валидацию транзакции против платёжного шлюза.

Запрос аудита

Готовы узнать, что найдут
в вашей системе до релиза?

Опишите продукт и область тестирования — пришлём объём работ, сроки и стоимость в течение одного рабочего дня.

NDA по умолчанию · Строго конфиденциально · Ответ в течение 24ч