Ищем технические уязвимости в вашей инфраструктуре и приложениях до того, как их найдёт кто-то ещё. Сканеры + ручная работа + попытка эксплуатации.
Что входит в услугу
- Сетевое сканирование — порты, сервисы, версии, CVE
- Web-уязвимости — OWASP Top 10: SQLi, XSS, SSRF, IDOR, auth-bypass
- Мобильные приложения — OWASP MASVS
- API-тестирование — authentication, authorization, rate-limiting
- Конфигурации — CIS Benchmarks: Windows, Linux, K8s, Docker
- Утечки данных в открытом доступе — OSINT, GitHub, pastebin
- Подтверждение эксплуатации — проверяем, что CVE реально можно использовать
- Retest — повторная проверка после исправления
Как мы работаем
- Scope и правила — цели, временные окна, правила коммуникации, LoA
- Автоматические сканы — широкое покрытие
- Ручной анализ — там, где сканеры не справляются
- Подтверждение — эксплуатация ключевых находок
- Отчёт с классификацией — CVSS, PoC, рекомендации по устранению
- Retest — проверяем после ремедиации
Стек и инструменты
- MaxPatrol 8/10, Nessus Pro, Rapid7 InsightVM
- Burp Suite Professional, OWASP ZAP
- Nmap, Masscan
- SQLMap, XSSHunter, Gobuster
- MobSF, Frida, objection
- BloodHound, impacket
Стоимость
Внешний периметр
от 56 000 ₽
сканы публичных IP и сервисов
Внутренний
от 140 000 ₽
VPN-доступ, сегментация сети, AD
Web/API-пентест
от 175 000 ₽
полный пентест одного веб-приложения
Почему это работает у АЙТИЛ
- Сертифицированные пентестеры (OSCP, CEH, CRTP, PNPT)
- Проверяем эксплуатацию, а не «CVE есть, значит уязвимо»
- Отчёт читаем и руководством, и разработчиками — с PoC и ремедиациями