Свяжитесь с нами

    Название направления

    Отправляя форму, вы даете согласие на обработку персональных данных и согласны с политикой конфиденциальности

    Благодарим что обратились к нам

    Мы скоро с вами свяжемся по указаным контактам

    Подписаться на вакансии

    Тестирование на проникновение корпоративного портала

    Безопасность

    IT CREDO 2022

    Поставленная задача:

    Обнаружение уязвимостей на внешнем периметре в связи с атаками из сети Интернет на ресурсы Заказчика.

    Направление:

    Безопасность

    Заказчик:

    Репетиторский центр «Максимум»

    Во время тестирования было обнаружено, на корпоративном портале Заказчика используется аутентификация через Active Directory по LDAP-протоколу.

    Нашими специалистами была обнаружена уязвимость типа «инъекция», в результате эксплуатации которой были получены личные данные сотрудников Заказчика.

    Используя полученные данные с применением методов социальной инженерии, была произведена успешная попытка авторизации на корпоративном портале, в результате чего был получен доступ во внутреннюю инфраструктуру Заказчика.

    Рекомендации по устранению уязвимостей: использовать программные платформы, которые автоматически защищают от внедрения «инъекций», а также функции, обеспечивающие безопасность LDAP-кодирования.

    Согласно международной организации в сфере безопасности программного обеспечения OWASP (Open Web Application Security Project) «инъекция» занимает 3 место в топ 10 векторов атак на web-приложения.