Компания «Спикател» выпустила «Экспат» — облачный сервис для автоматической проверки веб-приложений и API на уязвимости. Платформа покрывает 27 классов уязвимостей, включая ошибки бизнес-логики и компрометацию сторонних компонентов — то, что стандартные сканеры обычно пропускают.
Чтобы запустить проверку, достаточно указать адрес сайта или API. Платформа самостоятельно исследует структуру приложения и проверяет его устойчивость к широкому спектру атак — от классических инъекций и межсайтового скриптинга до более сложных сценариев: подделки запросов, контрабанды HTTP-пакетов, отравления кэша. По итогам формируется отчёт с рекомендациями по устранению уязвимостей. База содержит более 2 500 тестовых сценариев; сканирование выполняется параллельно — до 30 одновременных проверок.
Отдельный модуль анализирует сторонние компоненты приложения: подключаемые библиотеки, внешние скрипты, зависимости. Через них всё чаще проникают злоумышленники: достаточно скомпрометировать один популярный пакет, чтобы зараженными оказались тысячи приложений сразу. Второй модуль разбирается в том, как приложение работает изнутри: какую бизнес-логику реализует, какие правила должны соблюдаться и где их можно нарушить. По оценке «Спикател», именно такие уязвимости дают до 70% критических находок — а большинство автоматических инструментов их не видит.
«Многие компании узнают об уязвимостях своих приложений только после реальных атак. Обычные сканеры ищут инъекции и проверяют заголовки, но не понимают, как приложение работает изнутри. «Экспат» смотрит на приложение так же, как на него смотрит злоумышленник: проверяет бизнес-логику, зависимости, нестандартные сценарии», — комментирует технический директор «Спикатела» Евгений Пудовкин.
Платформа встраивается в процессы разработки и поддерживает основные форматы отчетов: PDF, HTML, SARIF, JSON. Используется как на этапе разработки, так и после запуска продукта в эксплуатацию. Все данные обрабатываются и хранятся в России.
Источник: Спикатель
