Анализ исходного кода

Большинство банков использует программное обеспечение сторонних разработчиков. По тем или иным причинам (халатность контрагентов, подкуп сотрудника, невнимательность ИБ-специалистов, и др.) исходный код попадает в руки злоумышленников. Подробное анализ и проверка исходного кода нашими специалистами и устранение уязвимостей в нем, препятствует взлому исходного кода и как следствие взлому сайта или приложения. Особенно это касается сайтов, которые собирают персональные данные пользователей и информацию о платежных документах. Для устранения критических уязвимостей приложения предлагаем провести полноценный анализ исходного кода приложения. Будет выполнен анализ исходного кода с использованием автоматизированных средств анализа исходного кода, а также ручной анализ, включающий в себя:

• поиск использования небезопасных функций исходного кода, позволяющих выполнять произвольный код на серверной стороне;
• анализ корректности и безопасности использования криптографических функций;
• поиск функций, ведущих к небезопасным обращениям к другим объектам;
• небезопасное обращение к файловой системе, базам данных и др.;
• присутствие логических уязвимостей (накручивание денежных средств, нелегитимные переводы, доступ к чужим банковским счетам клиентов)

В результате банк получает:

• отчет о найденных уязвимостях в исходном коде приложения;
• рекомендации по использованию корректных и безопасных функций для реализации бизнес-задач банка;
• рекомендации по использованию дополнительных защитных мер и процессов для снижения рисков информационной безопасности;
• высокоуровневую презентацию для высшего руководства банка о текущем состоянии защищенности приложения.