Ручное тестирование приложений на проникновение для B2B SaaS

Находим критические уязвимости и сложные цепочки атак в вашем приложении и API — чтобы снизить риск взлома, разблокировать сделки с Enterprise-клиентами и пройти аудит SOC 2 / ISO 27001.

Связаться с нами

Нам доверяют B2B SaaS-платформы

Enterprise-компании нанимают нас для проверки своих SaaS-поставщиков

Знакомо?

Сделка с Enterprise

Сделка с Enterprise-клиентом застряла на проверке безопасности.

Закупки потенциального клиента запрашивают свежий отчёт о пентесте от независимой стороны. Сделка не сдвинется, пока вы его не предоставите — а его у вас нет.

Compliance

В календаре аудит SOC 2 или ISO 27001.

Аудитор требует независимый пентест. Нужен отчёт, который пройдёт с первого раза — и без того, чтобы на недели снимать инженеров с roadmap.

Риск утечки

Надеетесь, что следующий громкий инцидент будет не у вас.

Команда выкатывает релизы каждую неделю и говорит, что продукт безопасен. Но никто извне не тестировал его независимо — и вы на самом деле не знаете, что может проэксплуатировать атакующий.

После инцидента

Был инцидент.

У вас, у соседа по рынку или вообще «впритык». Внутренняя проверка закрыла очевидное — но клиентам, партнёрам и инвесторам нужен независимый отчёт, чтобы поверить, что проблема действительно закрыта.

Раунд и M&A

Приближается следующий раунд или M&A.

Инвесторы и покупатели отмечают отсутствие независимого аудита безопасности как риск. Это начинает влиять на оценку — или на саму сделку.

Слабый пентест

Последний пентест выглядел как «галочка».

Вы оплатили его, получили PDF с малоценным шумом, и инженеры проигнорировали бо́льшую часть. Вы не уверены, что продукт действительно стал безопаснее.

Цена бездействия

8 из 10

B2B-сделок с Enterprise сегодня буксуют или срываются без независимого отчёта о пентесте.

50200%

от вашего годового ARR — типичная стоимость одной утечки: договорные штрафы, регуляторные санкции, отток клиентов и устранение последствий.

60%? 80%?

Сколько клиентов уйдёт после публичной утечки? Любая из этих цифр неприемлема — и достаточно всего одной утечки.

Что именно тестировать

Глубокое ручное тестирование всего, чего касаются пользователи — и всего, до чего может дотянуться атакующий.

Black-box

Симуляция внешнего атакующего: начинаем с того, что доступно публично.

Grey-box

Аутентифицированное тестирование с проходом по всем ролям пользователей вашего приложения.

Классы уязвимостей, которые ищем

  • Бизнес-логика
  • Нарушение контроля доступа
  • BOLA
  • BFLA
  • IDOR
  • Эскалация привилегий
  • Обход аутентификации
  • Управление сессиями
  • JWT
  • OAuth
  • SSO
  • SAML
  • Обход MFA
  • Злоупотребление сбросом пароля
  • Account takeover
  • Изоляция тенантов
  • Утечка данных между тенантами
  • SQL-инъекции
  • NoSQL-инъекции
  • Инъекции команд
  • LDAP-инъекции
  • Инъекции шаблонов
  • Reflected XSS
  • Stored XSS
  • DOM XSS
  • SSRF
  • XXE
  • CSRF
  • Mass assignment
  • Состояния гонки
  • Небезопасная десериализация
  • Загрузка файлов
  • Path traversal
  • Открытые редиректы
  • Subdomain takeover
  • Rate limiting
  • Злоупотребление бизнес-логикой
  • Слабая криптография
  • Cache poisoning
  • HTTP request smuggling
  • Раскрытие информации
  • Ошибки конфигурации
  • GraphQL-инъекции
  • Злоупотребление GraphQL introspection
  • Авторизация API
  • Утечка API-ключей
  • Злоупотребление webhook
  • Replay-атаки
  • DoS на уровне логики

Поверхность приложения к покрытию

  • Веб-фронтенд
  • Веб-бэкенд
  • REST API
  • GraphQL API
  • Публичные API
  • Внутренние API
  • Мобильные API
  • Webhooks
  • WebSockets
  • Аутентификация
  • Авторизация
  • SSO
  • SAML
  • OAuth
  • MFA
  • Сброс пароля
  • Восстановление аккаунта
  • Управление сессиями
  • Роли пользователей
  • Модели прав
  • Границы multi-tenant
  • Управление тенантами
  • Админ-панели
  • Внутренние инструменты
  • Загрузка файлов
  • Доступ к файлам
  • Сторонние интеграции
  • Платёжные потоки
  • Логика биллинга
  • Поиск
  • Экспорт
  • Импорт
  • Фоновые задачи
  • Асинхронные очереди
  • Логика email и уведомлений
  • Субдомены
  • Забытые активы

Что значит ручное на самом деле

Большинство специалистов по безопасности останавливаются на находке уязвимости. Для нас это лишь стартовая точка.

Пример: SQL-инъекция

Уровень 1 — Поверхностный

Найти и отметить

Типичный результат у сканеров, фрилансеров, bug bounty

Сканер обнаруживает SQL-инъекцию в URL-параметре. В отчёте — пометка «High». Ничего больше.

Уровень 2 — Стандарт

Подтвердить и зафиксировать

Типичный результат у большинства подрядчиков по пентесту

Тестировщик подтверждает инъекцию, извлекает несколько пользовательских записей как доказательство, фиксирует находку. На этом работа завершается.

Уровень 3 — Глубокий

Цепочка и реальный ущерб

Типичный результат у XRAY CyberSecurity

Находим SQLi, извлекаем пользовательские записи, сопоставляем с учётными данными из забытого бэкапа на соседнем субдомене, выделяем цели с максимальной ценностью, эксплуатируем дефект изоляции тенантов, собираем кастомный инструмент для получения административного доступа — и демонстрируем путь к компрометации данных вашего Enterprise-клиента.

Пример: Cross-Site Scripting

Уровень 1 — Поверхностный

Найти и отметить

Typical result for scanners, freelancers, bug bounty

Сканер находит reflected XSS в поле поиска. Помечен как «Medium». В списке.

Уровень 2 — Стандарт

Подтвердить и зафиксировать

Typical result for most pentest vendors

Тестировщик подтверждает XSS, демонстрирует popup как PoC с доступом к токену сессии, оформляет находку. Готово.

Уровень 3 — Глубокий

Цепочка и реальный ущерб

Typical result for XRAY CyberSecurity

Находим XSS, собираем PoC, эксфильтрующий токены сессий, доставляем его пользователям платформы, собираем токены, через дефект валидации ролей повышаем привилегии, тем же способом атакуем администраторов, крадём админские токены, перехватываем управление тенантом — и демонстрируем захват платформы, включая путь к компрометации Enterprise-клиентов.

Кастомные цепочки

У каждого SaaS своя цепочка атак

В вашей платформе она есть — возможно, не одна — встроенная в архитектуру, бизнес-логику и API.

Иногда цепочка приводит к полной компрометации. Иногда ваши защиты ломают её на середине — и мы фиксируем, где именно и почему.

В любом случае вы видите ровно то же, что видит атакующий.

Не уверены, что включить в скоуп для вашего продукта? Подберём оптимальный вариант вместе.

С вами свяжется senior-пентестер (не менеджер по продажам) и честно скажет, что реально стоит тестировать.

Связаться с нами Записаться на звонок

Что вы получите

Пять артефактов — рассчитанных на тех, кто действительно ими пользуется: ваши инженеры, ваш C-level, аудиторы и Enterprise-клиенты.

Образец артефактов XRAY CyberSecurity: Технический отчёт, Краткий отчёт для руководства, Отчёт о повторном тестировании и Сертификат безопасности сверху

Хотите увидеть, как они выглядят на деле?

Получить пример отчёта

Реальная структура, реальные находки, реальный формат. Те самые документы, которые увидит ваша команда и аудиторы.

Срочный промежуточный отчёт

Найдём Critical — узнаете в тот же день.

Если в процессе работы мы обнаружим уязвимость уровня Critical, требующую немедленных действий, вы получите оповещение с шагами воспроизведения и рекомендациями. Мы продолжаем тестировать, вы параллельно начинаете устранять. Без ожидания финального отчёта.

Для вашей инженерной команды, вашего CTO

Технический отчёт

Приоритизированные находки, по которым инженеры могут начать работу в тот же день.

Каждая уязвимость с шагами воспроизведения, PoC-эксплуатацией, оценкой бизнес-импакта и приоритизированной дорожной картой устранения. Без false-positive. Без воды. Сделано так, чтобы ваши разработчики точно знали, что и в каком порядке чинить.

Для ваших инженеров, вашего CTO, вашей команды безопасности

Краткий отчёт для руководства

То, что действительно нужно знать совету и инвесторам.

Отчёт на бизнес-языке: security-postur вашего продукта, выявленные риски, их потенциальный бизнес-импакт и путь устранения. Написан для CEO, советов, инвесторов и Enterprise-закупок — не для инженеров.

Для вашего CEO, вашего совета, инвесторов, контрагентов M&A и ваших клиентов

Отчёт о повторном тестировании

Проверенные доказательства того, что исправления работают.

После того как ваша команда устранит находки, мы повторно тестируем каждую и подтверждаем, что фикс выдерживает ту же эксплуатацию. Обновлённый отчёт — ваше доказательство, что уязвимости действительно закрыты, а не «закрыты» на бумаге.

Для ваших аудиторов, ваших Enterprise-клиентов

Сертификат безопасности

Публичный артефакт, который можно показать клиентам и потенциальным заказчикам.

После устранения и повторного тестирования мы выдаём официальный сертификат, подтверждающий, что продукт прошёл глубокий ручной пентест. Используйте его на сайте, в анкетах безопасности, в переговорах с Enterprise — это тот документ, который хотят видеть ваши потенциальные клиенты и их закупки.

Для вашего отдела продаж, маркетинга, потенциальных Enterprise-клиентов

Как мы достигаем ваших целей

Отраслевые стандарты, выполненные senior-инженерами.

Стандарты

Методологии, которым следуем

  • OWASP
  • PTES
  • NIST SP 800-115
  • MITRE ATT&CK

Требования compliance, которые мы закрываем

  • SOC 2
  • ISO 27001
  • GDPR
  • HIPAA
  • PCI DSS

Принципы, на которых мы работаем

Ручной хакинг

Сканеры — только базовая линия. Каждая находка собрана и подтверждена senior-инженером — эксплуатируется и связывается в цепочки вручную, с учётом контекста вашей платформы.

Циклично, а не линейно

Каждая находка — основа для следующей. Новый доступ раскрывает новую поверхность. Мы возвращаемся, копаем глубже и выстраиваем цепочки — пока не достигнем максимального ущерба, который позволяет ваша архитектура.

Бизнес-импакт, а не список багов

Список CVE не говорит вам, что атакующий реально сделает с бизнесом. Мы переводим каждую находку в сценарий из реального мира — что компрометируется, кто что теряет и как разворачивается цепочка.

Только senior-инженеры

Никаких джунов, обучающихся на вашем продукте, никакого аутсорса для подстраховки, никакой замены инженеров посередине проекта. Каждый проект ведут senior-инженеры наступательной безопасности с глубоким опытом в B2B SaaS.

Качество важнее скорости

Мы не конвейер, оптимизированный под пропускную способность. Берём меньше проектов одновременно и глубоко погружаемся в каждый — это сознательный выбор.

Не навредить

Все тесты идут по подписанному Rules of Engagement. Действия с высоким риском в продакшене заранее согласуются с вами. Critical-находки вызывают немедленное оповещение — никаких сюрпризов, никаких сломанных окружений.

Применимые находки, ноль false-positive

Каждая находка проверена, приоритизирована и описана с шагами воспроизведения и рекомендациями по устранению. Ваши инженеры точно знают, что чинить первым — и не теряют день на шум.

Коммуникация инженер–инженер

Прямой доступ к нашим инженерам на протяжении всего проекта. Никаких посредников из продаж, никаких project-менеджеров, фильтрующих техдетали.

Хакинг как ремесло

Мы нанимаем инженеров, которые хакают в свободное время — для ресерча, для CTF, ради самого ремесла. Наша команда воспринимает каждый проект как задачу, которую надо решить, а не тикет, который надо закрыть.

От вашего первого сообщения до финального сертификата

Структурированный проект, построенный вокруг вашей команды: senior-инженеры, прямая коммуникация, ноль сюрпризов.

  1. Первый разговор

    Что происходит
    • Вы пишете нам — звонком, формой или email, как вам удобнее
    • Отвечает senior-инженер (не sales-менеджер)
    • Вместе определяем цели и скоуп проекта
    • Честно говорим, подходим ли мы вам и что реально стоит тестировать
    Вы получаете Чёткий ответ по направлению — и подходим ли мы друг другу — до подписания чего-либо.

  2. Скоуп и коммерческое предложение

    Что происходит
    • Техническая сессия с вашей командой, чтобы понять архитектуру, роли и поверхность приложения
    • Проводим вас по образцу отчёта, чтобы вы точно знали, как выглядят артефакты
    • Вы получаете детальное коммерческое предложение: скоуп, подход, сроки, цена
    Вы получаете Полное предложение и образец отчёта, которые можно показать вашим CTO, CISO, CEO и закупкам до принятия решения.

  3. Kick-off

    Что происходит
    • Подписаны контракт и NDA
    • Подписан Rules of Engagement — чёткие границы того, что тестируем, когда и как
    • Выдача доступов и передача документации
    • На проект назначается senior-инженерная команда и проводится её бриф
    Вы получаете Подписанный контракт, документ Rules of Engagement, summary kick-off-встречи.

  4. Разведка и моделирование угроз

    Что происходит
    • Пассивный сбор информации по вашей публичной поверхности
    • Картирование архитектуры — как устроено приложение и где зоны наибольшего риска
    • Модель угроз: что стоит атаковать и как реально подойдёт к вашему продукту атакующий
    • На время проекта поднимается прямой канал инженер–инженер
    Вы получаете Если на этом этапе всплывает что-то срочное — мы сообщаем немедленно. В остальном этот этап напрямую питает последующее тестирование.

  5. Активная эксплуатация

    Что происходит
    • Ручной хакинг, поиск и эксплуатация уязвимостей
    • Сборка цепочек атак из нескольких находок
    • Оценка ущерба по каждой находке перед эксплуатацией в продакшене
    • Постоянный цикл: каждый новый доступ открывает новую поверхность, мы идём глубже
    Вы получаете Если находим критический путь атаки, легко эксплуатируемый и требующий немедленных действий, вы получаете Срочный промежуточный отчёт — оповещение с шагами воспроизведения и рекомендуемым ответом. Мы продолжаем тестировать, вы начинаете устранять параллельно.

  6. Передача основного отчёта

    Что происходит
    • Находки консолидированы, проверены и описаны
    • Подготовлены Технический отчёт и Краткий отчёт для руководства
    • Дорожная карта устранения приоритизирована
    Вы получаете Технический отчёт (для ваших инженеров) и Краткий отчёт для руководства (для совета, Enterprise-клиентов и аудиторов).

  7. Дебриф

    Что происходит
    • Разбор находок с вашей инженерной командой
    • Разбор бизнес-импакта с вашим руководством
    • Q&A по приоритетам устранения — что чинить первым и почему
    Вы получаете Приоритизированную дорожную карту устранения и прямые ответы на вопросы вашей команды.

  8. Сопровождение устранения

    Что происходит
    • Поддержка ваших разработчиков на всём цикле исправлений
    • Разъяснение векторов атаки и подходов к устранению
    • Темп задаёт ваша команда — мы не подгоняем и не затягиваем
    Вы получаете Техническое сопровождение в процессе устранения в рамках вашего проекта.

  9. Повторное тестирование и финальный сертификат

    Что происходит
    • Каждая устранённая находка повторно проверяется тем же способом эксплуатации
    • Проверяем, что исправление действительно держит — не «починено» на бумаге
    • Выдаются обновлённые отчёты и сертификат безопасности
    Вы получаете Отчёт о повторном тестировании, обновлённый Технический отчёт и ваш Сертификат безопасности.

Признаны отраслью

Топовые рейтинги на отраслевых платформах

  • Top Clutch — Application Security Company 2026
  • Clutch Fall Champion 2025
  • Top Clutch — Penetration Testing 2026
  • Top Penetration Testing 2024 Award

Сертификации наших инженеров

  • OSCP+
  • CRTL
  • BSCP
  • OSEP
  • CEH
  • PNPT

Их собственными словами

Enterprise · аудит SaaS-вендоров
XRAY CyberSecurity предоставили комплексный, хорошо структурированный отчёт с практическими рекомендациями по укреплению безопасности нашего приложения. Мы получили два отчёта — детальный Технический и отдельный для руководства — что позволило быстро представить результаты топ-менеджменту и составить план действий. Готовность напрямую общаться с нашими подрядчиками значительно ускорила устранение.
Iryna Grynchii Cybersecurity Manager · Danone Полный отзыв на Clutch →
SaaS · email-платформа
XRAY CyberSecurity провели пентест наших продуктов, построенных на разных технологиях. Мы выявили уязвимости, устранили их и получили подтверждение через повторное тестирование, что они закрыты. Общение с их командой ощущалось скорее как работа с коллегами, чем со внешним подрядчиком — профессионалы, эксперты, дали ценные советы.
Oleg Bida Information Security Manager Полный отзыв на Clutch →
SaaS · LMS-платформа
XRAY CyberSecurity провели grey-box пентест по методологии OWASP. Их тщательный ручной анализ выявил уязвимости, заслуживающие внимания, а детальные технический и executive-отчёты — с последующим повторным тестированием, подтвердившим устранение — позволили нам пройти сертификацию по ISO 27001.
Alex Slubskyi CTO · Davintoo Полный отзыв на Clutch →
SaaS · логистическая платформа
XRAY CyberSecurity провели тщательную оценку наших веб-приложений и облачных сред, моделируя сценарии реальных атак. Подробные отчёты содержали понятные применимые выводы, которые существенно улучшили нашу security-postur, а способность доносить сложные находки в простой форме была неоценима для нашей команды.
Taras Komenda CEO · MINT Innovations Полный отзыв на LinkedIn →
Приложение
Работа была выполнена быстро и профессионально. Специалисты XRAY CyberSecurity указали на наши уязвимые места, что позволило улучшить качество ПО. Мы получили отчёт с детальными сценариями проникновения и как техническими, так и организационными рекомендациями по устранению и предотвращению.
Oleg Khavruk IT Director · Nash Format Полный отзыв на Forbes →
5/5 на Clutch читать все отзывы

Готовы тестировать ваше приложение?

Связаться с нами Записаться на звонок

Часто задаваемые вопросы

Повлияет ли тестирование на нашу продакшн-среду?

Нет, и это сознательно. Каждый проект идёт под подписанным Rules of Engagement, где зафиксировано, что именно мы тестируем, когда и как. Действия с высоким риском в продакшене — всё, что может повлиять на производительность, целостность данных или реальных пользователей — заранее согласуются с вами и выполняются только с вашего явного одобрения. Мы ни разу не уронили продакшн клиента, и наш процесс выстроен, чтобы так было и впредь.

Если предпочитаете тестировать на staging — работаем с тем, что у вас есть. Нам не нужна отдельная среда, чтобы получить реальные находки — мы адаптируемся к вашей.

Пройдёт ли ваш отчёт проверку нашего аудитора и службы безопасности Enterprise-клиента?

Да. Тестирование строится на OWASP WSTG, PTES и NIST SP 800-115 — методологиях, которые ожидают увидеть аудиторы SOC 2 и ISO 27001. Каждый отчёт включает Краткий отчёт для руководства, написанный для закупок и топ-менеджмента, и Технический отчёт с шагами воспроизведения и рекомендациями по устранению для инженеров.

Наши отчёты принимали службы безопасности глобальных Enterprise — в том числе те, кто нанимал нас напрямую для проверки своих SaaS-поставщиков. Пройдут и у вас.

А если вы не найдёте уязвимостей?

Это редкость — в проектах по B2B SaaS мы всегда находили что-то, заслуживающее отчёта. Но если не найдём, вы всё равно получите полный набор артефактов: отчёт, подтверждающий глубину тестирования, применённые методологии и охваченные компоненты. Это тот же документ, который нужен вашим аудиторам и Enterprise-клиентам.

Чистый пентест от senior-команды — тоже значимый результат, и мало какие продукты реально могут им похвастаться.

Как вы работаете с конфиденциальностью, нашими данными и юридической ответственностью?

Каждый проект начинается с подписанного NDA и контракта с XRAY CyberSecurity — полная корпоративная и юридическая ответственность. Находки, артефакты эксплуатации и любые данные, к которым был получен доступ во время тестов, хранятся зашифрованно, доступны только назначенным инженерам и удаляются из наших систем после закрытия проекта (точный срок хранения зафиксирован в контракте).

У нас есть страхование профессиональной ответственности, а команда работает по строгим внутренним политикам обращения с данными. Если что-то пойдёт не так — есть юрлицо, с которого можно спросить, с правовыми механизмами, а не «надеждой».

Сколько усилий это потребует от нашей команды?

Меньше, чем большинство ожидает. Основная нагрузка — в первые дни: выдача доступов, передача документации и разбор архитектуры на kick-off. Дальше участие вашей команды в основном сводится к редким уточняющим вопросам.

Реальные временны́е затраты приходятся на этап устранения, когда ваши инженеры чинят находки. Это идёт по вашему графику, не по нашему — и мы поддерживаем их прямой технической консультацией, а не новыми митингами.

Нужно ли отключать WAF, добавлять ваши IP в whitelist или координироваться с нашим SOC и мониторингом во время тестов?

Все эти вопросы мы обсуждаем на kick-off и подстраиваемся под ваш сетап.

В большинстве проектов рекомендуем либо добавить наши IP в whitelist на уровне WAF (тогда мы тестируем приложение, а не ваш периметр), либо тестировать поведение WAF явно как часть скоупа — на ваш выбор. Если у вас есть SOC или команда мониторинга, мы согласуем оповещения, чтобы наши тесты не запускали лишнее реагирование на инцидент. Мы минимизируем шум — но не отключаем защиту без вашего решения.

А если нам нужно поставить проект на паузу или перенести его?

Так бывает — релизный аврал, внутренние инциденты, смена руководства. Наш процесс рассчитан на это. Паузы согласуются с вашей командой, сроки проекта сдвигаются соответственно, и за разумный перенос в рамках периода проекта штрафов нет.

Включено ли повторное тестирование? Сколько у нас есть времени на устранение, прежде чем мы потеряем возможность повторного теста?

Повторное тестирование включено в каждый проект — без отдельной оплаты. После того как ваша команда устранит находки, мы перепроверяем каждую тем же способом эксплуатации, чтобы убедиться, что исправление действительно держит, и выпускаем обновлённый Технический отчёт и Сертификат безопасности.

Окно для повторного теста согласуется заранее и фиксируется в скоупе, чтобы у вашей команды было реальное время на устранение. Мы не подгоняем, не затягиваем и не выставляем счёт повторно за работу, которая и так должна быть частью изначального проекта.

Есть ли скрытые платежи? Что реально входит в цену?

Цена в предложении — это цена, которую вы платите. Она фиксированная, прописана в контракте и привязана к согласованному скоупу. В неё входит полный цикл от kick-off до финального сертификата: тестирование, все отчёты (Срочный промежуточный, Технический, Краткий для руководства, Повторного теста), дебриф-звонок, сопровождение устранения, повторное тестирование и Сертификат безопасности.

Никаких скрытых платежей, оплаты «за находку», доплат за повторные тесты, отчёты или последующие звонки. Цена меняется только если вы решаете расширить скоуп в процессе — добавить новые компоненты, новые роли или новые приложения. В этом случае мы оцениваем дополнительные трудозатраты и согласуем изменения с вами письменно до начала работ. На счёте никаких сюрпризов.

Давайте поговорим.

Расскажите о задаче, которую хотите решить.

Или сразу запишитесь на 20-минутный звонок