Пентест веб-приложений
Для внешних приложений, личных кабинетов, внутренних порталов и критичных бизнес-сценариев.
- Аутентификация и сессии
- Авторизация и повышение привилегий
- Ошибки бизнес-логики
- Обзор основной поверхности атаки
Оценка безопасности для стартапов, SaaS-компаний и онлайн-бизнеса
Оценка безопасности для команд, которым нужен ясный взгляд на реальные риски.
SeveraDAO Security проверяет веб-приложения, API, внешнюю экспозицию и смарт-контракты. Цель простая: показать значимые риски, разобрать реалистичные сценарии атаки и помочь понять, что исправлять в первую очередь.
Ручная проверка.
Проверка строится вокруг реалистичных сценариев атаки, а не вокруг формального чек-листа.
Понятный отчёт.
Только находки, их влияние и приоритеты исправления, без лишнего шума.
Чёткий scope.
Цели, границы и ожидания фиксируются до старта работ.
Управляемый процесс.
Прямая коммуникация, аккуратная работа в рамках scope и профессиональная сдача результатов.
Услуги по безопасности с понятным объёмом работ.
Для команд, которым нужен ясный взгляд на риски в приложениях, API, внешней экспозиции и смарт-контрактах.
Аудит API
Для REST- и GraphQL-интерфейсов, на которых держатся продукты, мобильные приложения и интеграции.
- Нарушения объектной авторизации
- Токены, границы авторизации и безопасность сессий
- Изоляция клиентских данных и утечки
- Сценарии злоупотребления и скрытая функциональность
Проверка внешней инфраструктуры
Для команд, которым нужен практический обзор публично доступной инфраструктуры и того, что видно снаружи.
- DNS, TLS и видимая браузеру конфигурация
- Заголовки, cookie-файлы и пробелы в защите
- Проверка внешней экспозиции
- Приоритеты исправлений
Аудит смарт-контрактов
Для точечных Solidity-проектов, где важны эксплуатация, корректность учёта и границы доверия.
- Контроль доступа и границы доверия
- Учёт и переходы состояний
- Reentrancy, оракулы, ценообразование и логика ликвидации
- Оценка критичности по реальному бизнес-риску
Стоимость от
Финальная цена зависит от объёма работ, количества целей, сложности, уровня доступа и ожидаемых сроков.
Пентест веб-приложения
от $1,500
Точечная проверка веб-приложения.
Аудит API
от $1,200
Проверка безопасности REST и GraphQL.
Проверка внешней инфраструктуры
от $900
Проверка внешней конфигурации и публично доступных точек входа.
Аудит смарт-контрактов
от $2,500
Точечный аудит контрактов. Более крупные объёмы работ — по отдельной оценке.
Как мы работаем
1
Определение scope
Фиксируем цели, доступ, сроки и границы тестирования.
2
Проверка
Проверяем систему по реалистичным сценариям атаки и с учётом реального технического контекста.
3
Отчёт
Передаём письменный отчёт с находками, влиянием и рекомендациями по исправлению.
4
Проверка исправлений
При необходимости отдельно проверяем внесённые фиксы.
Работаем по делу, без лишней бюрократии
SeveraDAO Security создан для команд, которым нужна серьёзная проверка безопасности без лишней бюрократии. Акцент на полезных находках, ясных приоритетах и рабочей коммуникации без лишнего шума.
- Подходят стартапам, SaaS-компаниям и онлайн-бизнесу
- Отчёты понятны и инженерам, и руководителям
- Сфокусированные и профессиональные проекты от начала до конца
Обсудить задачу
Опишите задачу, приоритеты и сроки.
Хотите написать напрямую?
Опишите задачу: что нужно проверить, в какие сроки и какой объём работ планируется.
Email
[email protected] LinkedIn
Peter Levashov
[email protected] LinkedIn
Peter Levashov
Обычно отвечаю
в течение 24 часов
в течение 24 часов
Лучше всего подходим
стартапам, SaaS-продуктам, онлайн-бизнесу и небольшим техническим командам
стартапам, SaaS-продуктам, онлайн-бизнесу и небольшим техническим командам
Частые вопросы
Частые вопросы перед стартом.
Что получает клиент по итогам?
Письменный отчёт с находками, оценкой влияния и рекомендациями по исправлению.
Как рассчитывается стоимость?
Стоимость зависит от объёма, количества целей, сложности, уровня доступа и сроков.
Вы работаете с небольшими командами?
Да. Формат услуг рассчитан в том числе на стартапы, SaaS-команды и точечные проекты.
Можно ограничить scope конкретной частью системы?
Да. Проверку можно сфокусировать на отдельном приложении, API, бизнес-процессе или наборе контрактов.
Можно проверить исправления после отчёта?
Да. При необходимости можно отдельно включить повторную проверку фиксов.