Решение
Тестирование на проникновение было реализовано по методологии «черного ящика»: получив ссылку ресурс от заказчика, эксперты были должны провести тест с определенных IP-адресов, чтобы был доступ к тестовому стенду.
Функциональность сервиса оказалась несложной – к
примеру, в ней не было возможности аутентификации пользователей или оплаты
подписки. Было выявлено, как злоумышленники могут заставить тестируемый ресурс
отправлять произвольные запросы и атаковать другие системы. Специалисты дали
рекомендации, как избежать этого, а при повторном тестировании убедились, что
заказчик исправил уязвимости.