.PNG)
Веб-приложения — главная точка входа для атакующих. По данным Positive Technologies, в 73% успешных взломов корпоративных сетей первым скомпрометированным звеном оказывается веб-ресурс: сайт, портал, API или личный кабинет. Веб-пентест — это контролируемая атака, которая находит уязвимости до того, как их эксплуатирует злоумышленник.
1Что такое веб-пентест
Веб-пентест (тестирование на проникновение веб-приложения) — это авторизованная имитация атаки на веб-ресурс организации, чтобы выявить уязвимости, которые может использовать реальный злоумышленник. В отличие от автоматического сканирования, пентест проводят живые специалисты, которые ищут логические ошибки, цепочки уязвимостей и бизнес-риски, а не только известные CVE.
Ключевое отличие пентеста от сканирования уязвимостей: сканер находит известные ошибки по базам CVE и конфигурации. Пентестер находит то, что сканер пропустит — бизнес-логику, IDOR, цепочки атак, уязвимости авторизации. Именно они чаще всего приводят к реальным утечкам данных.
Если нужен не разовый пентест, а постоянный контроль защищённости — смотрите услугу анализа защищённости инфраструктуры: мониторинг уязвимостей, автоматическое сканирование и ручные проверки на регулярной основе.
Важно: пентест без договора — это взлом
2Виды веб-пентеста: Black Box, Grey Box, White Box
Подход к проведению пентеста определяет глубину проверки и исходную информацию, которую получает команда тестирования:
| Тип | Что знает пентестер | Глубина | Когда применять |
|---|---|---|---|
| Black Box | Только URL / IP. Никаких учётных данных или исходников | Внешний периметр | Имитация атаки внешнего хакера без инсайда |
| Grey Box | Учётные данные пользователя, частичная документация | Глубокий аудит логики | Проверка авторизации, IDOR, бизнес-логики |
| White Box | Исходный код, схема БД, инфраструктура | Максимальный охват | Полный аудит перед релизом критичной системы |
Для большинства коммерческих сайтов и порталов оптимален Grey Box: он даёт реалистичную имитацию угрозы со стороны скомпрометированного сотрудника или утечки учётных данных, и при этом охватывает бизнес-логику приложения.
3Что проверяют при веб-пентесте
Методология OWASP Testing Guide и методика ФСТЭК России определяют обязательный перечень проверок. Опытная команда проводит более 150 тестов по следующим классам уязвимостей:
Инъекции (SQL, NoSQL, LDAP, Command)
Ввод вредоносных данных в запросы к БД или командному интерпретатору. Критичность — высокая: может привести к полному захвату БД.
Нарушения авторизации (IDOR, Broken Access Control)
Получение доступа к чужим данным через подмену идентификаторов. Входит в OWASP Top-10 #1 с 2021 года.
XSS (Cross-Site Scripting)
Выполнение вредоносного JavaScript в браузере жертвы — кража сессий, фишинг, распространение вредоносного ПО.
Аутентификация и управление сессиями
Слабые пароли, отсутствие блокировки перебора, небезопасные куки, уязвимости JWT/OAuth.
Небезопасная конфигурация
Открытые директории, debug-режим в продакшене, избыточные заголовки сервера, устаревшие TLS-версии.
Уязвимости бизнес-логики
Нарушения алгоритма работы приложения: обход платёжной страницы, неограниченные скидки, изменение чужих заказов.
SSRF / XXE / Загрузка файлов
Атаки через функции загрузки, обработки XML/JSON, запросы к внутренним сервисам через уязвимое приложение.
API-безопасность
REST/GraphQL/SOAP: mass assignment, избыточные данные в ответах, отсутствие rate-limiting, небезопасные токены.
OWASP Top 10 — отраслевой стандарт
Отдельную угрозу представляют уязвимости нулевого дня — эксплойты без готового патча. О том, как они работают и почему стандартный сканер их не поймает: Zero Day: что это и как защититься.
4Методология и этапы веб-пентеста
Профессиональный веб-пентест — это не «нажать кнопку запуска сканера». Работа проходит в 5 этапов согласно PTES (Penetration Testing Execution Standard) и адаптирована к требованиям ФСТЭК России:
| Этап | Длительность | Что делается |
|---|---|---|
| 1. Разведка и сбор информации | 1–2 дня | OSINT, анализ технологического стека, картирование функций приложения, поиск утечек учётных данных |
| 2. Анализ поверхности атаки | 1 день | Перечисление точек входа: формы, параметры URL, API-эндпоинты, файлы загрузки |
| 3. Эксплуатация уязвимостей | 3–7 дней | Подтверждение и ручная эксплуатация уязвимостей, попытки горизонтального перемещения |
| 4. Постэксплуатация | 1–2 дня | Оценка доступа к данным и смежным системам, цепочки уязвимостей, бизнес-риски |
| 5. Отчётность | 2–3 дня | Структурированный отчёт: описание уязвимостей, CVSS-оценки, PoC, план устранения |
5Что входит в отчёт о веб-пентесте
Отчёт — ключевой результат пентеста. Он должен быть понятен и CISO, и разработчику, и руководству. Стандартный отчёт КРЕДО-С содержит:
Исполнительное резюме — ключевые риски на языке бизнеса, без технических деталей
Реестр уязвимостей — каждая с описанием, CVSS-оценкой (Critical/High/Medium/Low) и статусом эксплуатации
PoC (Proof of Concept) — скриншоты и запросы, подтверждающие реальность уязвимости
Маппинг на OWASP Top 10 и требования ФСТЭК/методики оценки защищённости
Детальные рекомендации — как устранить каждую уязвимость с примерами кода или конфигурации
Retesting — повторная проверка исправлений (входит в стоимость)
Отчёт по требованиям ФСТЭК
Приказ ФСТЭК №17, №21, №239
Для государственных информационных систем и объектов КИИ наш отчёт содержит маппинг уязвимостей на меры защиты из соответствующих приказов ФСТЭК. Документ принимается в качестве подтверждающего материала при аттестации.
6Стоимость веб-пентеста
Цена зависит от масштаба приложения, типа тестирования и требуемой глубины проверки. Ориентиры по рынку:
| Объект | Тип пентеста | Срок | Стоимость |
|---|---|---|---|
| Корпоративный сайт до 10 форм | Black Box | 5–7 рабочих дней | от 80 000 ₽ |
| Веб-приложение / личный кабинет | Grey Box | 10–14 рабочих дней | от 180 000 ₽ |
| Интернет-банк / финтех / маркетплейс | Grey Box / White Box | 15–25 рабочих дней | от 350 000 ₽ |
| Объект КИИ — государственная ИС | White Box + регуляторный отчёт | 20–30 рабочих дней | от 500 000 ₽ |
Что влияет на цену
73%
взломов
начинаются с веб-приложения
150+
проверок
по методологии OWASP
5–30
дней
срок проведения пентеста
100%
retesting
повторная проверка исправлений
7Как выбрать компанию для веб-пентеста
Рынок пентеста непрозрачен: за «проведём пентест за 20 000 рублей» часто скрывается запуск бесплатного сканера и выгрузка его отчёта. Вот признаки профессиональной команды:
Лицензия ФСТЭК на техническую защиту информации
Обязательна для работы с государственными системами и объектами КИИ. Без лицензии — нарушение требований регуляторов.
Портфолио пентестов аналогичных систем
Пентест банковского приложения кардинально отличается от пентеста корпоративного портала. Запросите релевантные кейсы.
Ручная работа, а не только сканер
Попросите описать методологию: как тестируется бизнес-логика, как проверяются IDOR-уязвимости. Сканер их не находит.
Чёткий NDA и договор с ограничением ответственности
Пентест — это доступ к вашей инфраструктуре. Без защитных юридических условий рискуете и вы, и провайдер.
Retesting включён в стоимость
Провайдер, который не проверяет исправления, не заинтересован в реальном результате — только в выставлении счёта.
Методология, команда и кейсы: тестирование на проникновение от КРЕДО-С.
Примеры выполненных работ: пентест систем авиационного предприятия и пентест образовательного портала.
8Веб-пентест и регуляторные требования
Для ряда организаций проведение пентеста — не только хорошая практика, но и регуляторное требование:
| Регулятор / документ | Требование | Для кого |
|---|---|---|
| ФСТЭК — Приказы №17, №21, №239 | Анализ защищённости, выявление уязвимостей как мера защиты | ГИС, ИСПДн, объекты КИИ |
| Банк России — ГОСТ Р 57580.1 | Тестирование на проникновение как обязательный элемент оценки | Финансовые организации |
| 187-ФЗ и Приказ ФСТЭК №239 | Оценка защищённости значимых объектов КИИ | Субъекты КИИ |
| Указ Президента №250 (01.05.2022) | Регулярная оценка уровня защищённости | Системообразующие организации |
После пентеста мы выдаём пакет документов для предоставления регуляторам: технический отчёт, заключение об уровне защищённости и рекомендации по устранению. Для субъектов КИИ документы соответствуют форматам ФСТЭК — подробнее об услуге: защита объектов КИИ.
Заказать веб-пентест — Расчёт стоимости за 1 рабочий деньЧасто задаваемые вопросы
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Андрей Вишняков
Руководитель отдела тестирования на проникновение
Руководит командой пентестеров КРЕДО-С. Специализируется на тестировании веб-приложений, мобильных API и Red Team-операциях. Сертифицированный специалист OSCP.