Главная / Кейсы / Бизнес-логика вместо багов

Компания готовилась к размещению акций, а любой инцидент мог стоить миллиардов.
Мы нашли ошибку в бизнес-логике, через которую любой мог купить 5 тонн чипсов
за 1 рубль.

Как одна проверка спасла сеть интернет-магазинов от убытка в 50 млн рублей

Услуги:
Анализ защищенности веб-приложений
Тестирование на проникновение

Отрасль:
Розничная торговля

Решение: Имитация атаки «хакера-преступника»: поиск уязвимостей, бьющих по прибыли

Исходная ситуация

Крупнейшая федеральная розничная сеть (1000+ магазинов) находилась в финальной стадии подготовки к публичному размещению акций. Внутри оставалась слепая зона:
тестировали только функциональность, а не логику ценообразования, не было контроля за аномальными заказами, ранее уже были случаи мошеннических покупок, но системно проблему не решали.

Решение

Какие работы были выполнены:

Провели анализ защищённости всех веб-приложений
Протестировали соответствие реализации бизнес-логики с действительностью
Использовали анализ защищённости методом «серого ящика», чтобы проверить партнёрскую программу
Создали и продемонстрировали реалистичный сценарий: заказ на 5 тонн чипсов за 1 рубль

Результаты

-1-

Предотвращены потенциальные финансовые потери в размере
50 млн рублей
-2-

Устранены расхождения
в ценообразовании — все цены корректны
-3-

Обеспечена защита на двух уровнях: через безопасную разработку и регулярные пентесты

Проверить, не теряете ли вы деньги через уязвимости в бизнес-логике
[Анализ защищенности веб-приложений/Тестирование на проникновение]

[{"lid":"1761476049904","ls":"10","loff":"","li_parent_id":"","li_type":"nm","li_ph":"\u0412\u0430\u0448\u0438 \u0438\u043c\u044f \u0438 \u0444\u0430\u043c\u0438\u043b\u0438\u044f","li_nm":"Name"},{"lid":"1761476049905","ls":"20","loff":"","li_parent_id":"","li_type":"in","li_ph":"\u041e\u041e\u041e \u00ab\u041a\u043e\u043c\u043f\u0430\u043d\u0438\u044f\u00bb","li_title":"\u041f\u043e\u043b\u043d\u043e\u0435 \u043d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u044e\u0440\u043b\u0438\u0446\u0430","li_req":"y","li_nm":"\u041f\u043e\u043b\u043d\u043e\u0435 \u043d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u044e\u0440\u043b\u0438\u0446\u0430"},{"lid":"1761476049906","ls":"30","loff":"","li_parent_id":"","li_type":"sb","li_title":"\u0412\u044b\u0431\u0435\u0440\u0438\u0442\u0435 \u0443\u0441\u043b\u0443\u0433\u0443","li_variants":"\u0410\u043d\u0430\u043b\u0438\u0437 \u0417\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u043e\u0441\u0442\u0438\n\u0422\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430 \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u0435 [\u041f\u0435\u043d\u0442\u0435\u0441\u0442]\n\u0410\u0443\u0434\u0438\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438\n\u0410\u0443\u0442\u0441\u043e\u0440\u0441\u0438\u043d\u0433 \u0418\u0411 [\u0421\u043e\u043f\u0440\u043e\u0432\u043e\u0436\u0434\u0435\u043d\u0438\u0435 DLP \u0440\u0435\u0448\u0435\u043d\u0438\u044f]\n\u0411\u044b\u0441\u0442\u0440\u044b\u0439 \u0430\u043d\u0430\u043b\u0438\u0437 \u0432\u043d\u0435\u0448\u043d\u0435\u0433\u043e \u043f\u0435\u0440\u0438\u043c\u0435\u0442\u0440\u0430","li_req":"y","li_nm":"\u0412\u044b\u0431\u0435\u0440\u0438\u0442\u0435 \u0443\u0441\u043b\u0443\u0433\u0443"},{"lid":"1761476049907","ls":"40","loff":"","li_parent_id":"","li_type":"em","li_ph":"\u042d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0430\u044f \u043f\u043e\u0447\u0442\u0430","li_nm":"Email"},{"lid":"1761476049908","ls":"50","loff":"","li_parent_id":"","li_type":"ph","li_ph":"John Smith","li_masktype":"a","li_maskcountry":"RU","li_req":"y","li_nm":"Phone"}]

Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности и даёте согласие на обработку персональных данных.

Как одна проверка спасла сеть интернет-магазинов от убытка в 50 млн рублей

Исходная ситуация

Решение

Результаты

Проверить, не теряете ли вы деньги через уязвимости в бизнес-логике[Анализ защищенности веб-приложений/Тестирование на проникновение]

Проверить, не теряете ли вы деньги через уязвимости в бизнес-логике
[Анализ защищенности веб-приложений/Тестирование на проникновение]