Аудит безопасности • Пентест

0day.cyou

Ваш сервис должен выдерживать не только релиз, но и атаку.

Проверяю веб-приложения, API и внутренние панели так, чтобы было видно, где у вас реальный риск. На выходе — понятный отчёт: что критично, что чинить в первую очередь и на что правда стоит обратить внимание.

Отправить заявку Смотреть scope

Ручной аудит веб‑сервисов, API, админок и критичных сценариев.

Заявка на аудит

Оставьте контакт и ссылку на проект. После заявки вернусь с деталями по объёму, срокам и формату проверки.

Имя / компания Контакт

Ссылка на проект

Тип проверки Срок

Краткий контекст

Что проверяется

Проверка строится вокруг реальных точек взлома, а не вокруг красивого чеклиста.

Каждая секция делает одну работу: показать, где именно сервис теряет устойчивость и что с этим делать дальше.

Поверхность атаки и лишние точки входа

Домены, поддомены, внешние сервисы, панели, открытые порты, забытые маршруты и всё, что делает проект шире для атакующего, чем кажется внутри команды.

Subdomains Admin panels External services

Доступы, роли и ошибки авторизации

IDOR, broken access control, обход ролей, слабая сегментация, проблемы с сессиями и токенами — всё, что позволяет зайти дальше, чем должен пользователь.

IDOR Privilege escalation Session flaws

Критичная бизнес‑логика и денежные сценарии

Платёжные потоки, backoffice, API-интеграции, sensitive data и функционал, где одна ошибка превращается не в баг-репорт, а в реальный убыток или утечку.

Payments Backoffice Partner API

Attack path review Смотрю не только отдельные баги, а путь от внешней точки входа до реального ущерба.

Manual review

Public surface Домены, API routes, admin endpoints, внешние интеграции.

Auth & access Роли, ownership checks, токены, сессии, privilege boundaries.

Business actions Платежи, выводы, backoffice workflows, операции с чужими объектами.

Impact Утечка, обход ограничений, изменение данных, финансовый ущерб.

Real
risk

Подход От точки входа к сценарию атаки

Фокус Не шум, а то, что действительно ломает сервис

Результат Понятно, где закрывать риск в первую очередь

На выходе

Отчёт, который можно сразу отдавать в разработку и менеджмент.

Без декоративных PDF ради PDF. Только приоритет, влияние на бизнес, шаги воспроизведения и понятный ориентир по фиксам.

Severity + impact Понятно, что критично сейчас, а что можно планировать.

Repro steps Чтобы команда не гадала, как именно повторить проблему.

Fix hints Чтобы закрывать риск быстрее, а не спорить о формулировках.

Отчёт по результатам аудита Critical

Проект Web app + API

Находок 12 issues

Приоритет Fix now

IDOR в административном API открывает доступ к чужим операциям

Impact Просмотр и изменение данных других аккаунтов без нужной роли.

Repro Замена identifier в запросе возвращает объекты другого пользователя.

Fix Проверка ownership на сервере и жёсткая валидация доступа по роли.

FAQ

Коротко по важному.

Без лишнего текста и без попытки спрятать смысл под маркетинг.

С какими проектами работаешь?

SaaS, финтех, кабинеты клиентов, внутренние панели, Telegram/web‑продукты, API‑сервисы и проекты с критичными flow.

Можно ли начать с маленького scope?

Да. Можно проверить одну зону: авторизацию, API, админку, платёжный сценарий или внешний perimeter.

Нужен ли доступ к коду?

Не обязательно. Во многих случаях достаточно тестового или прод‑стенда и корректно согласованного объёма проверки.

Нужно понять реальный риск до инцидента, а не после?

Оставьте заявку и обсудим формат проверки под ваш продукт.

Отправить заявку