Заказчик
Клиент занимается разработкой искусственного интеллекта, который помогает пользователям адаптироваться к новому программному обеспечению в организации.
ПО использует теорию подталкивания (Nudge Theory), разработанную Ричардом Талером. Клиенту отправляется специальное сообщение, чтобы он выполнил определенное действие или нажал клавишу. Таким образом пользователи вырабатывают механическую привычку использовать все доступные функции программного продукта.
Описание ПО
Программный продукт состоит из двух частей – клиентской и серверной. Первая инсталлируется на рабочее место пользователя и собирает необходимую информацию.
Серверная часть находится на стороне клиента. Она обрабатывает данные, собранные агентом, и решает, какую информацию отправить пользователю для дальнейшего обучения.
Гипотетически преступник может вклиниться в связь между клиентом и сервером, чтобы получить доступ к рабочему месту пользователя.
Пентест
Имитация хакерской атаки осуществлялось по методу «черный ящик» (Black Box). Другими словами, злоумышленнику ничего неизвестно о жертве и он использует все доступные средства, чтобы взломать рабочую станцию пользователя.
Такой подход выявляет все возможные уязвимости, которые теоретически могут существовать в инфраструктуре заказчика.
По результатам пентеста была найдена уязвимостьУязвимость — «с... → – XSS (Cross-Site Scripting). Она позволяет внедрить JavaScript-код на странице, который выполнится на стороне пользователя.
При правильном использовании, хакер мог бы добавить свои скрипты и похитить, например, cookies пользователя, что впоследствии позволит получить полный доступ к сессии пользователя, а при удачном стечении обстоятельств и захватить контроль над сервером клиента.
Результат
После обнаружения уязвимости клиент сразу же устранил ее при помощи Content Security Policy. Любой java-скрипт, который высылается в ответным сообщении сервера, подписывается дополнительным сертификатом. Он шифрует данные алгоритмом SHA-256.
Заказчик положительно отозвался о работе сотрудников Cyber Fort. По его словам, специалисты решали любые вопросы в кратчайшие сроки, а уровень подготовки – профессиональный.