Связаться

Ручное тестирование на проникновение API

Ваши API открывают данные и логику напрямую клиентам и партнёрам, без UI, за которым можно спрятаться — а проверка каждого эндпоинта на дефекты на уровне объектов и авторизации — это кропотливая, специализированная работа, которой широкий пентест редко отдаёт должное. Именно на этой глубине мы сосредоточены.

Связаться

Нам доверяют

Знакомая ситуация?

Нет UI, за которым спрятаться

Ваша настоящая поверхность — это API, а не фронтенд.

Что бы ни контролировал UI, API отвечает напрямую. Злоумышленник полностью обходит ваш интерфейс и обращается к эндпоинтам напрямую — а вы никогда не тестировали, что они возвращают.

BOLA / авторизация

Вы не уверены, что каждый эндпоинт проверяет «ваше ли это?»

Аутентификации вы доверяете. Но авторизация на уровне каждого объекта и функции на сотнях эндпоинтов — именно там ломаются API: одна пропущенная проверка — и любой пользователь читает любую запись.

Партнёрский / публичный API

Третьи стороны потребляют ваш API напрямую.

Партнёры и клиенты интегрируются с вашими эндпоинтами и ожидают, что они протестированы. Дефект здесь — это не только ваша проблема, а риск для всех, с кем вы интегрированы.

GraphQL / схема

Ваш GraphQL или схема могут рассказывать злоумышленникам слишком много.

Интроспекция, вложенные запросы и чрезмерно открытые поля дают злоумышленникам карту вашей модели данных — и способ злоупотреблять ею для перечисления или отказа в обслуживании.

Compliance

Аудит или клиент хотят, чтобы протестировано было именно API.

SOC 2, ISO 27001, PCI или проверка безопасности клиента теперь прямо указывают на API. Общий отчёт по веб-приложению этого не удовлетворяет — нужно тестирование, ограниченное скоупом самого интерфейса.

Разрастание

Вы выпустили больше эндпоинтов, чем кто-либо отслеживает.

Версионированные, устаревшие, внутренние, незадокументированные — эндпоинты накапливаются быстрее, чем их инвентаризируют. Забытый маршрут v1 без аутентификации — именно то, что находят первым.

Цена бездействия

#1 risk

Сломанная авторизация на уровне объектов (BOLA) возглавляет OWASP API Security Top 10 — и это самый распространённый серьёзный дефект, который мы находим, ведь его подтверждение означает ручное тестирование каждого объекта на каждом эндпоинте.

80%+

веб-трафика — теперь это API-трафик, то есть бóльшая часть вашей настоящей поверхности атаки живёт там, где нет UI, чтобы её ограничить.

1 endpoint

без проверки владения может слить каждую запись за ним. Одного забытого эндпоинта злоумышленнику достаточно.

Что именно тестировать

Глубокое ручное тестирование каждого эндпоинта, метода и объектаа не только «счастливого пути», описанного в вашей документации.

Black-box

Мы атакуем API как внешний потребитель, имея лишь публично доступное, и обнаруживаем эндпоинты, версии и методы, которых нет в документации.

Grey-box

Аутентифицированное тестирование с учётными данными по ролям, скоупам и тенантам — плюс схема или спецификация, где доступны — чтобы задействовать авторизацию на уровне объектов и функций на полную глубину.

Классы уязвимостей, которые ищем

  • BOLA (сломанная авторизация на уровне объектов)
  • BFLA (сломанная авторизация на уровне функций)
  • Сломанная аутентификация
  • Чрезмерное раскрытие данных
  • Mass assignment
  • Ненадлежащая инвентаризация / теневые эндпоинты
  • Подделка запросов на стороне сервера (SSRF)
  • Инъекции (SQL / NoSQL / команды)
  • GraphQL-инъекции
  • Злоупотребление интроспекцией GraphQL
  • DoS через вложенные / глубокие запросы
  • Злоупотребление батчингом
  • Ненадлежащее ограничение частоты
  • Исчерпание ресурсов
  • Дефекты JWT
  • Дефекты OAuth / токенов
  • Утечка и злоупотребление API-ключами
  • Replay-атаки
  • Ненадлежащая валидация ввода
  • Злоупотребление бизнес-логикой
  • Дефекты версионирования (небезопасные устаревшие эндпоинты)
  • Ненадлежащая обработка ошибок / чрезмерно подробные ошибки
  • Небезопасный CORS
  • Подмена HTTP-методов
  • Злоупотребление вебхуками
  • Пробелы контроля несоответствия схеме / спецификации
  • Межтенантный доступ к данным

Поверхность API для покрытия

  • REST-эндпоинты
  • GraphQL-эндпоинты
  • SOAP / XML-сервисы
  • Публичные API
  • Партнёрские / B2B API
  • Внутренние / service-to-service API
  • Эндпоинты аутентификации
  • Выдача токенов и ключей
  • Потоки OAuth
  • API-шлюзы
  • Уровни ограничения частоты и throttling
  • Эндпоинты объектов и ресурсов
  • Админ / привилегированные эндпоинты
  • Границы данных между тенантами
  • Параметры пагинации и фильтрации
  • Эндпоинты загрузки / выгрузки файлов
  • Вебхуки
  • Массовые / пакетные операции
  • Версионированные эндпоинты (v1/v2…)
  • Устаревшие и незадокументированные эндпоинты
  • Интроспекция схемы / OpenAPI / GraphQL
  • Эндпоинты сторонних интеграций

Что на самом деле значит ручное

Большинство тестов безопасности останавливаются на обнаружении уязвимости. Для нас это лишь отправная точка.

Пример: сломанная авторизация на уровне объектов (BOLA)

Уровень 1 — Поверхностный

Найти и пометить

Типичный результат для сканеры, фрилансеры, bug bounty

Общий тест по спецификации видит, что эндпоинт возвращает 200 OK на корректный запрос. Проходит. Помечено как нормальное.

Уровень 2 — Стандартный

Подтвердить и зафиксировать

Типичный результат для большинство пентест-вендоров

Типичный пентестер подменяет один ID объекта и извлекает запись одного другого пользователя, чтобы доказать дефект, сообщает об одном IDOR — и на этом останавливается.

Уровень 3 — Глубокий

Цепочка и реальное влияние

Типичный результат для XRAY CyberSecurity

Показываем, что ID объектов можно перебирать в масштабе, чтобы добраться до записей любого клиента, определяем привилегированные объекты, злоупотребляем сломанной проверкой на уровне функций для доступа к админским операциям, создаём или повышаем токен — и демонстрируем, что одна пропущенная проверка владения открывает доступ ко всему набору данных за API, по всем тенантам.

Пример: интроспекция GraphQL и чрезмерное раскрытие данных

Уровень 1 — Поверхностный

Найти и пометить

Типичный результат для сканеры, фрилансеры, bug bounty

Тест по чек-листу замечает, что интроспекция GraphQL включена. Помечено «informational».

Уровень 2 — Стандартный

Подтвердить и зафиксировать

Типичный результат для большинство пентест-вендоров

Типичный пентестер выполняет запрос, возвращающий пару скрытых полей, чтобы доказать раскрытие, делает скриншот, фиксирует находку — не идя дальше.

Уровень 3 — Глубокий

Цепочка и реальное влияние

Типичный результат для XRAY CyberSecurity

Составляем полную карту схемы через интроспекцию, формируем запросы, добирающиеся до скрытых и чрезмерно открытых полей, вкладываем и батчим их для обхода ограничения частоты, перечисляем пользователей и внутренние объекты и показываем, что токены и PII доступны в масштабе — демонстрируя массовое раскрытие данных через единственный эндпоинт, который никто не считал чувствительным.

Собственные цепочки

У каждого API — своя цепочка атак

Ваша заложена в ваши эндпоинты, модель объектов, логику авторизации и версии, которые вы выпустили и забыли.

Иногда цепочка раскрывает всё. Иногда надёжный уровень авторизации разрывает её посередине — и мы сообщаем, где именно и почему.

В любом случае: вы видите то, что на самом деле видит злоумышленник.

Не уверены, какие эндпоинты включить в скоуп? Составим карту вашей поверхности API.

Senior-пентестер (а не менеджер по продажам) вернётся к вам с честной оценкой того, что действительно стоит тестировать.

Связаться Записаться на звонок
Кейсы

Из реальных проектов

Несколько проектов, показывающих, как выглядит работа с нами — в масштабе, годами, в разных отраслях.

Производство · FMCG

Серия пентест-проектов для глобальной food & beverage компании, работающей в 120+ странах.

Blackbox- и Greybox-тестирование нескольких ИТ-сервисов — гарантируем высокую защиту потребителей, сотрудников, подрядчиков и акционеров, удовлетворяя требования compliance на уровне группы.

Читать кейс
B2B SaaS · LMS

Комплексный пентест веб-приложения для поддержки сертификации ISO 27001 корпоративной LMS-платформы.

Blackbox- и Greybox-тестирование по OWASP — с повторным тестированием после устранения и финальным отчётом, подтвердившим уровень безопасности для аудита ISO 27001.

Читать кейс
Все кейсы

Что вы получите

Пять артефактов — рассчитанных на тех, кто действительно ими пользуется: ваши инженеры, ваш C-level, аудиторы и Enterprise-клиенты.

Образец артефактов XRAY CyberSecurity: Технический отчёт, Краткий отчёт для руководства, Отчёт о повторном тестировании и Сертификат безопасности сверху

Хотите увидеть, как они выглядят на деле?

Получить пример отчёта

Реальная структура, реальные находки, реальный формат. Те самые документы, которые увидит ваша команда и аудиторы.

Срочный промежуточный отчёт

Найдём Critical — узнаете в тот же день.

Если в процессе работы мы обнаружим уязвимость уровня Critical, требующую немедленных действий, вы получите оповещение с шагами воспроизведения и рекомендациями. Мы продолжаем тестировать, вы параллельно начинаете устранять. Без ожидания финального отчёта.

Для вашей инженерной команды, вашего CTO

Технический отчёт

Приоритизированные находки, по которым инженеры могут начать работу в тот же день.

Каждая уязвимость с шагами воспроизведения, PoC-эксплуатацией, оценкой бизнес-импакта и приоритизированной дорожной картой устранения. Без false-positive. Без воды. Сделано так, чтобы ваши разработчики точно знали, что и в каком порядке чинить.

Для ваших инженеров, вашего CTO, вашей команды безопасности

Краткий отчёт для руководства

То, что действительно нужно знать совету и инвесторам.

Отчёт на бизнес-языке: security-postur вашего продукта, выявленные риски, их потенциальный бизнес-импакт и путь устранения. Написан для CEO, советов, инвесторов и Enterprise-закупок — не для инженеров.

Для вашего CEO, вашего совета, инвесторов, контрагентов M&A и ваших клиентов

Отчёт о повторном тестировании

Проверенные доказательства того, что исправления работают.

После того как ваша команда устранит находки, мы повторно тестируем каждую и подтверждаем, что фикс выдерживает ту же эксплуатацию. Обновлённый отчёт — ваше доказательство, что уязвимости действительно закрыты, а не «закрыты» на бумаге.

Для ваших аудиторов, ваших Enterprise-клиентов

Сертификат безопасности

Публичный артефакт, который можно показать клиентам и потенциальным заказчикам.

После устранения и повторного тестирования мы выдаём официальный сертификат, подтверждающий, что продукт прошёл глубокий ручной пентест. Используйте его на сайте, в анкетах безопасности, в переговорах с Enterprise — это тот документ, который хотят видеть ваши потенциальные клиенты и их закупки.

Для вашего отдела продаж, маркетинга, потенциальных Enterprise-клиентов

Как мы достигаем ваших целей

Отраслевые стандарты, выполненные senior-инженерами.

Стандарты

Методологии, которым следуем

  • OWASP
  • PTES
  • NIST SP 800-115
  • MITRE ATT&CK

Требования compliance, которые мы закрываем

  • SOC 2
  • ISO 27001
  • GDPR
  • HIPAA
  • PCI DSS

Принципы, на которых мы работаем

Ручной хакинг

Сканеры — только базовая линия. Каждая находка собрана и подтверждена senior-инженером — эксплуатируется и связывается в цепочки вручную, с учётом контекста вашей платформы.

Циклично, а не линейно

Каждая находка — основа для следующей. Новый доступ раскрывает новую поверхность. Мы возвращаемся, копаем глубже и выстраиваем цепочки — пока не достигнем максимального ущерба, который позволяет ваша архитектура.

Бизнес-импакт, а не список багов

Список CVE не говорит вам, что атакующий реально сделает с бизнесом. Мы переводим каждую находку в сценарий из реального мира — что компрометируется, кто что теряет и как разворачивается цепочка.

Только senior-инженеры

Никаких джунов, обучающихся на вашем продукте, никакого аутсорса для подстраховки, никакой замены инженеров посередине проекта. Каждый проект ведут senior-инженеры наступательной безопасности с глубоким опытом в B2B SaaS.

Качество важнее скорости

Мы не конвейер, оптимизированный под пропускную способность. Берём меньше проектов одновременно и глубоко погружаемся в каждый — это сознательный выбор.

Не навредить

Все тесты идут по подписанному Rules of Engagement. Действия с высоким риском в продакшене заранее согласуются с вами. Critical-находки вызывают немедленное оповещение — никаких сюрпризов, никаких сломанных окружений.

Применимые находки, ноль false-positive

Каждая находка проверена, приоритизирована и описана с шагами воспроизведения и рекомендациями по устранению. Ваши инженеры точно знают, что чинить первым — и не теряют день на шум.

Коммуникация инженер–инженер

Прямой доступ к нашим инженерам на протяжении всего проекта. Никаких посредников из продаж, никаких project-менеджеров, фильтрующих техдетали.

Хакинг как ремесло

Мы нанимаем инженеров, которые хакают в свободное время — для ресерча, для CTF, ради самого ремесла. Наша команда воспринимает каждый проект как задачу, которую надо решить, а не тикет, который надо закрыть.

От вашего первого сообщения до финального сертификата

Структурированный проект, построенный вокруг вашей команды: senior-инженеры, прямая коммуникация, ноль сюрпризов.

  1. Первый разговор

    Что происходит
    • Вы пишете нам — звонком, формой или email, как вам удобнее
    • Отвечает senior-инженер (не sales-менеджер)
    • Вместе определяем цели и скоуп проекта
    • Честно говорим, подходим ли мы вам и что реально стоит тестировать
    Вы получаете Чёткий ответ по направлению — и подходим ли мы друг другу — до подписания чего-либо.

  2. Скоуп и коммерческое предложение

    Что происходит
    • Техническая сессия с вашей командой, чтобы понять архитектуру, роли и поверхность приложения
    • Проводим вас по образцу отчёта, чтобы вы точно знали, как выглядят артефакты
    • Вы получаете детальное коммерческое предложение: скоуп, подход, сроки, цена
    Вы получаете Полное предложение и образец отчёта, которые можно показать вашим CTO, CISO, CEO и закупкам до принятия решения.

  3. Kick-off

    Что происходит
    • Подписаны контракт и NDA
    • Подписан Rules of Engagement — чёткие границы того, что тестируем, когда и как
    • Выдача доступов и передача документации
    • На проект назначается senior-инженерная команда и проводится её бриф
    Вы получаете Подписанный контракт, документ Rules of Engagement, итоги kick-off-встречи.

  4. Разведка и моделирование угроз

    Что происходит
    • Пассивный сбор информации по вашей публичной поверхности
    • Картирование архитектуры — как устроено приложение и где зоны наибольшего риска
    • Модель угроз: что стоит атаковать и как реально подойдёт к вашему продукту атакующий
    • На время проекта поднимается прямой канал инженер–инженер
    Вы получаете Если на этом этапе всплывает что-то срочное — мы сообщаем немедленно. В остальном этот этап напрямую питает последующее тестирование.

  5. Активная эксплуатация

    Что происходит
    • Ручной хакинг, поиск и эксплуатация уязвимостей
    • Сборка цепочек атак из нескольких находок
    • Оценка ущерба по каждой находке перед эксплуатацией в продакшене
    • Постоянный цикл: каждый новый доступ открывает новую поверхность, мы идём глубже
    Вы получаете Если находим критический путь атаки, легко эксплуатируемый и требующий немедленных действий, вы получаете Срочный промежуточный отчёт — оповещение с шагами воспроизведения и рекомендуемым ответом. Мы продолжаем тестировать, вы начинаете устранять параллельно.

  6. Передача основного отчёта

    Что происходит
    • Находки консолидированы, проверены и описаны
    • Подготовлены Технический отчёт и Краткий отчёт для руководства
    • Дорожная карта устранения приоритизирована
    Вы получаете Технический отчёт (для ваших инженеров) и Краткий отчёт для руководства (для совета, Enterprise-клиентов и аудиторов).

  7. Дебриф

    Что происходит
    • Разбор находок с вашей инженерной командой
    • Разбор бизнес-импакта с вашим руководством
    • Q&A по приоритетам устранения — что чинить первым и почему
    Вы получаете Приоритизированную дорожную карту устранения и прямые ответы на вопросы вашей команды.

  8. Сопровождение устранения

    Что происходит
    • Поддержка ваших разработчиков на всём цикле исправлений
    • Разъяснение векторов атаки и подходов к устранению
    • Темп задаёт ваша команда — мы не подгоняем и не затягиваем
    Вы получаете Техническое сопровождение в процессе устранения в рамках вашего проекта.

  9. Повторное тестирование и финальный сертификат

    Что происходит
    • Каждая устранённая находка повторно проверяется тем же способом эксплуатации
    • Проверяем, что исправление действительно держит — не «починено» на бумаге
    • Выдаются обновлённые отчёты и сертификат безопасности
    Вы получаете Отчёт о повторном тестировании, обновлённый Технический отчёт и ваш Сертификат безопасности.

Признаны отраслью

Топовые рейтинги на отраслевых платформах

  • Top Clutch — Application Security Company 2026
  • Clutch Fall Champion 2025
  • Top Clutch — Penetration Testing 2026
  • Top Penetration Testing 2024 Award

Сертификации наших инженеров

  • OSCP+
  • CRTL
  • BSCP
  • OSEP
  • CEH
  • PNPT

Их собственными словами

Enterprise · независимый аудит
XRAY CyberSecurity предоставили комплексный, хорошо структурированный отчёт с практическими рекомендациями по укреплению безопасности нашего приложения. Мы получили два отчёта — детальный Технический и отдельный для руководства — что позволило быстро представить результаты топ-менеджменту и составить план действий. Готовность напрямую общаться с нашими подрядчиками значительно ускорила устранение.
Iryna Grynchii Cybersecurity Manager · Danone Полный отзыв на Clutch →
SaaS · email-платформа
XRAY CyberSecurity провели пентест наших продуктов, построенных на разных технологиях. Мы выявили уязвимости, устранили их и получили подтверждение через повторное тестирование, что они закрыты. Общение с их командой ощущалось скорее как работа с коллегами, чем со внешним подрядчиком — профессионалы, эксперты, дали ценные советы.
Oleg Bida Менеджер по информационной безопасности Полный отзыв на Clutch →
SaaS · LMS-платформа
XRAY CyberSecurity провели grey-box пентест по методологии OWASP. Их тщательный ручной анализ выявил уязвимости, заслуживающие внимания, а детальные технический и executive-отчёты — с последующим повторным тестированием, подтвердившим устранение — позволили нам пройти сертификацию по ISO 27001.
Alex Slubskyi CTO · Davintoo Полный отзыв на Clutch →
SaaS · логистическая платформа
XRAY CyberSecurity провели тщательную оценку наших веб-приложений и облачных сред, моделируя сценарии реальных атак. Подробные отчёты содержали понятные применимые выводы, которые существенно улучшили нашу security-postur, а способность доносить сложные находки в простой форме была неоценима для нашей команды.
Taras Komenda CEO · MINT Innovations Полный отзыв на LinkedIn →
Приложение
Работа была выполнена быстро и профессионально. Специалисты XRAY CyberSecurity указали на наши уязвимые места, что позволило улучшить качество ПО. Мы получили отчёт с детальными сценариями проникновения и как техническими, так и организационными рекомендациями по устранению и предотвращению.
Oleg Khavruk IT Director · Nash Format Полный отзыв на Forbes →
5/5 на Clutch читать все отзывы

Готовы тестировать ваш API?

Связаться Записаться на звонок

Частые вопросы

Чем это отличается от вашего пентеста приложений?

Тест приложения сосредоточен на веб-приложении — UI-потоки, человеческие процессы, проблемы на стороне клиента — и покрывает API за ним как часть этой поверхности. Этот проект рассматривает API как основную цель: авторизация на уровне эндпоинтов, злоупотребление схемой и методами и machine-to-machine аутентификация — на глубине, которой тест через UI не достигает. Если ваш API — это продукт или интерфейс для партнёров, это правильный скоуп.

У нас есть спецификация OpenAPI/GraphQL — это что-то меняет?

Это нас ускоряет. Спецификация позволяет системно покрыть каждый задокументированный эндпоинт, метод и параметр вместо того, чтобы их угадывать. Но мы не останавливаемся на спецификации — незадокументированные, устаревшие и теневые эндпоинты часто и есть то, где скрываются настоящие находки, поэтому мы ищем и их.

Почему это требует специалиста — разве любой пентестер не покроет API?

API скрывает риск в авторизации на уровне объектов и функций на каждом эндпоинте: доказать, что пользователь A может добраться до данных пользователя B — это медленная, ручная работа над каждым объектом. Проект широкого скоупа, покрывающий сеть, приложение и API за один проход, редко достигает такой глубины, прежде чем закончится время. Мы тестируем API как сфокусированную дисциплину, поэтому достигаем — и именно оттуда берутся важные находки.

Повлияет ли тестирование на нашу продакшн-среду?

Тестирование выполняется по подписанным Правилам проведения (Rules of Engagement). Мы контролируем объём запросов, чтобы избежать проблем с нагрузкой, а действия с высоким риском — всё, что изменяет продакшн-данные или нагружает лимиты частоты — согласовываем и утверждаем до выполнения. Тестовые среды тоже подходят, если они отражают авторизацию продакшена.

Как вы обеспечиваете и тестируете изоляцию между тенантами?

Мы просим учётные данные как минимум в двух отдельных тенантах/аккаунтах и системно пытаемся получить межтенантный доступ на уровне объектов и функций. Доказать (или опровергнуть), что тенант A не может коснуться данных тенанта B — один из самых ценных результатов теста API.

Как вы обеспечиваете конфиденциальность, наши данные и юридическую ответственность?

Подписанный NDA и договор с полной корпоративной ответственностью. Любые данные, возвращённые API во время тестирования, хранятся в зашифрованном виде, доступны только назначенным инженерам и удаляются после проекта в соответствии с вашим договором. У нас есть страхование профессиональной ответственности.

Сколько усилий это требует от нашей команды?

Настройка сосредоточена в начале — учётные данные по ролям и тенантам, спецификация, если она есть, и короткий обзор того, как API должен использоваться. Дальше — нечастые уточняющие вопросы. Время на устранение с вашей стороны — бóльшая инвестиция, которую мы поддерживаем напрямую.

А если вы ничего не найдёте?

Для API это редкость — пробелы авторизации встречаются часто — но если так случается, чистый результат от команды senior-уровня показателен. Вы всё равно получаете полный набор артефактов, документирующих протестированные эндпоинты, методы и пути авторизации — артефакт, который нужен вашему аудитору или клиенту.

Включено ли повторное тестирование и есть ли скрытые платежи?

Цена в предложении фиксированная и прописана в договоре под согласованный скоуп. Повторное тестирование после устранения включено, с обновлённым отчётом и Сертификатом безопасности. Единственное, что меняет цену — это расширение скоупа с вашей стороны — больше эндпоинтов, сервисов или сред — согласованное письменно до начала любых работ.

Поговорим.

Расскажите о задаче, которую хотите решить.

Или сразу забронируйте 20-минутный звонок