Анализ исходного кода

Большинство банков использует программное обеспечение сторонних разработчиков. По тем или иным причинам (халатность контрагентов, подкуп сотрудника, невнимательность ИБ-специалистов, и др.) исходный код попадает в руки злоумышленников. Подробное анализ и проверка исходного кода нашими специалистами и устранение уязвимостей в нем, препятствует взлому исходного кода и как следствие взлому сайта или приложения. Особенно это касается сайтов, которые собирают персональные данные пользователей и информацию о платежных документах. Для устранения критических уязвимостей приложения предлагаем провести полноценный анализ исходного кода приложения. Будет выполнен анализ исходного кода с использованием автоматизированных средств анализа исходного кода, а также ручной анализ, включающий в себя:

  • поиск использования небезопасных функций исходного кода, позволяющих выполнять произвольный код на серверной стороне;
  • анализ корректности и безопасности использования криптографических функций;
  • поиск функций, ведущих к небезопасным обращениям к другим объектам;
  • небезопасное обращение к файловой системе, базам данных и др.;
  • присутствие логических уязвимостей (накручивание денежных средств, нелегитимные переводы, доступ к чужим банковским счетам клиентов)

В результате банк получает:

  • отчет о найденных уязвимостях в исходном коде приложения;
  • рекомендации по использованию корректных и безопасных функций для реализации бизнес-задач банка;
  • рекомендации по использованию дополнительных защитных мер и процессов для снижения рисков информационной безопасности;
  • высокоуровневую презентацию для высшего руководства банка о текущем состоянии защищенности приложения.