Экспертный пентест API
от 100 000 ₽
Комбинация автоматизированного сканирования VAHREST и ручной верификации экспертами. Отчёт по ГОСТ за 5–10 рабочих дней.
Как проходит пентест
Заявка и scope
Определяем границы тестирования, согласовываем окно и доступы.
Автоматический скан
VAHREST запускает 17 плагинов: DAST, fuzzing, discovery, brute-force.
Ручная верификация
Эксперт проверяет бизнес-логику, BOLA, race conditions и другие сложные уязвимости.
Отчёт и ретест
Получаете детальный отчёт. После исправления — бесплатный ретест.
Что входит в проверку
Полный чеклист по OWASP API Security Top 10 и не только.
- SQL Injection (SQLi) — классический и слепой
- Broken Object Level Authorization (BOLA / IDOR)
- Broken Function Level Authorization (BFLA)
- Mass Assignment и Excessive Data Exposure
- Rate Limiting и Resource Exhaustion
- Authentication / Session bypass
- Server-Side Request Forgery (SSRF)
- Injection-атаки (XSS, XXE, Command Injection)
- Security Misconfiguration (CORS, headers, TLS)
- Business Logic flaws (race conditions, price tampering)
Форматы отчёта
PDF / DOCX по ГОСТ
Готовый документ для регуляторов и внутренних проверок.
Executive Summary
Краткое резюме для руководства с risk score и ключевыми рекомендациями.
Детализация
Карточки уязвимостей: описание, запрос/ответ, CVSS, CWE, шаги воспроизведения.
SARIF
Машиночитаемый формат для интеграции с CI/CD и Security-дашбордами.
Сроки и стоимость
от 100 000 ₽
Зависит от количества эндпоинтов, сложности бизнес-логики и типа API (REST / GraphQL / gRPC).
5–10 рабочих дней
Включает автоскан, ручную верификацию и подготовку отчёта. Ретест — бесплатно.