Свяжитесь с нами

    Название направления

      Отправляя форму, вы даете согласие на обработку персональных данных и согласны с политикой конфиденциальности

      Благодарим что обратились к нам

      Мы скоро с вами свяжемся по указаным контактам

      Подписаться на вакансии

      Тестирование на проникновение корпоративного портала

      Личное: Безопасность

       IT CREDO — 2023: Двигаемся в будущее с “Максофт”

      Поставленная задача:

      Обнаружение уязвимостей на внешнем периметре в связи с атаками из сети Интернет на ресурсы Заказчика.

      Направление:

      Личное: Безопасность

      Заказчик:

      Репетиторский центр «Максимум»

      Во время тестирования было обнаружено, на корпоративном портале Заказчика используется аутентификация через Active Directory по LDAP-протоколу.

      Нашими специалистами была обнаружена уязвимость типа «инъекция», в результате эксплуатации которой были получены личные данные сотрудников Заказчика.

      Используя полученные данные с применением методов социальной инженерии, была произведена успешная попытка авторизации на корпоративном портале, в результате чего был получен доступ во внутреннюю инфраструктуру Заказчика.

      Рекомендации по устранению уязвимостей: использовать программные платформы, которые автоматически защищают от внедрения «инъекций», а также функции, обеспечивающие безопасность LDAP-кодирования.

      Согласно международной организации в сфере безопасности программного обеспечения OWASP (Open Web Application Security Project) «инъекция» занимает 3 место в топ 10 векторов атак на web-приложения.