Найдём дыры в вашей
системе — до того,
как это сделают за вас
Tibex — команда наступательной безопасности. Мы проводим глубокий pentest продукта: API, платёжную логику, авторизацию и инфраструктуру — и выдаём отчёт с приоритетами и готовым планом исправления.
Что мы находим
Категории уязвимостей, которые системно закрывает каждый аудит Tibex — от платёжной логики до конфигурации инфраструктуры.
Обход платёжной логики
Подтверждение оплаты без реального перевода, генерация чужих платёжных ссылок, обход триал-лимитов.
BOLA / IDOR
Доступ к чужим записям и объектам по прямой ссылке — чтение, изменение, удаление данных других пользователей.
Утечка PII
Персональные данные, контакты и документы, доступные без авторизации через незащищённые API.
BFLA и эскалация privileges
Функции администратора, доступные обычному пользователю из-за отсутствия проверки роли.
Слабая аутентификация
Долгоживущие токены без отзыва, отсутствие rate limit на login, предсказуемые сессии.
Инъекции и подмена данных
Email/SES injection, инъекция фейковых отзывов и заявок, подмена вебхуков без проверки подписи.
Конфигурация и CORS
Небезопасные CORS-политики, открытые admin-панели, публичные схемы API и debug-режимы в проде.
Раскрытие информации
Служебные эндпоинты, документация и метаданные, которые не должны быть публичными.
Как мы это делаем
Owner-attested black-box + authenticated pentest — методология из пяти шагов, доведённая до PoC на каждую находку.
Разведка
Картирование поддоменов, JS-бандлов и OpenAPI-схемы. Строим полную карту поверхности атаки перед тем, как коснуться первого запроса.
Сканирование
tibex CLI прогоняет 9 модулей: auth, BOLA/IDOR, payments, CORS, rate-limit, инъекции — по каждому endpoint из карты.
Ручная эксплуатация
Каждая находка подтверждается вручную на тестовых аккаунтах: рабочий PoC, а не предположение сканера.
Приоритизация
CVSS-оценка и план исправления по срокам — от «немедленно» для критики до двух недель на системные проблемы.
Ретест
После фиксов проверяем каждую находку повторно и закрываем её в отчёте статусом Fixed.
Так выглядит находка
Фрагмент реального формата отчёта Tibex — обезличенный пример на демо-домене, без данных клиентов.
Обход подтверждения оплаты без авторизации
Описание: callback-эндпоинт, предназначенный только для сервера платёжного провайдера, доступен любому вызывающему. Подтверждена полная цепочка: создание заказа → подтверждение оплаты, без проверки подписи запроса.
Endpoint: POST /api/payment/confirm
Влияние: бесплатный доступ к платным подпискам — система засчитывает оплату как полученную без реального перевода средств.
Ограничить callback по IP провайдера, добавить проверку криптографической подписи и валидацию транзакции против платёжного шлюза.
Готовы узнать, что найдут
в вашей системе до релиза?
Опишите продукт и область тестирования — пришлём объём работ, сроки и стоимость в течение одного рабочего дня.
NDA по умолчанию · Строго конфиденциально · Ответ в течение 24ч