ЭКСПРЕСС — АУДИТ БЕЗОПАСНОСТИ

Найдём уязвимости в ваших каналах связи, API и платежной инфраструктуре

ЧТО ПРОВЕРЯЕМ

SMS И PUSH

Проверка каналов подтверждения транзакций, которые злоумышленники используют чаще всего.

Что проверяем:

— Подмена отправителя (можно ли отправить SMS от имени компании)

— TTL (время жизни кода — не слишком ли большое)

— Привязка к сессии (можно ли использовать код на другом устройстве)

— Возможность многократного запроса кода (нет ли rate limiting)

— Логирование (попадает ли код в логи поддержки)

API И WEBHOOK

Анализ публичных интерфейсов и точек входа, через которые можно скомпрометировать систему.

Что проверяем:

· Rate limiting (ограничение количества запросов)

· CORS (можно ли вызывать API с чужого домена)

· Подпись запроса (можно ли подделать webhook)

· Replay-атаки (можно ли отправить тот же запрос повторно)

· Передача чувствительных данных в URL или теле запроса

ЛОГИКА ПОДТВЕРЖДЕНИЯ

Оценка архитектуры многоканальной верификации и защита от внутренних угроз.

Что проверяем:

— Количество каналов (сколько способов подтвердить транзакцию)

— Fallback-схемы (можно ли переключиться на более слабый канал)

— Защита от инсайдера (может ли администратор подтвердить транзакцию без пользователя)

— Дифференциация по сумме (требуются ли разные каналы для разных сумм)

ASTRAL INTERACTIVE // ПОЧЕМУ ITG // FAQ

⟡ ASTRAL INTERACTIVE // ITG DIVISION ⟡

ПОЧЕМУ ITG

Три принципа, которые определяют наш подход к экспресс-аудиту

Оплата за результат

Оплата производится исключительно при обнаружении критических проблем. Если уязвимости не выявлены — услуга предоставляется безвозмездно. Риск финансовых потерь полностью лежит на Исполнителе.

Без доступа к коду

Для проведения аудита не требуется доступ к исходному коду, серверам или внутренним системам Заказчика. Работа осуществляется исключительно на основе анализа публичных интерфейсов.

Независимый взгляд

ITG не интегрирована в ИБ-процессы Заказчика. Отсутствие привыкания к архитектуре позволяет выявлять неочевидные уязвимости, которые могут быть пропущены внутренними специалистами.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

Что именно вы проверяете?

Проверяем публичные интерфейсы, связанные с подтверждением транзакций: SMS и push-уведомления, API-эндпоинты, webhook, логику многоканальной верификации. Исходный код и внутренние серверы не анализируются.

Нужно ли предоставлять доступ к исходному коду?

Нет. Аудит проводится исключительно на основе анализа публичных интерфейсов: мобильное приложение, веб-интерфейс, API-документация.

Что если вы не найдёте критических уязвимостей?

В этом случае оплата не производится. Вы получаете документальное подтверждение защищённости вашей архитектуры.

Сколько стоит аудит?

1 500 долларов США. Оплата в рублях по курсу ЦБ на дату выставления счёта.

Сколько времени занимает аудит?

До 10 рабочих дней с даты подписания договора.

Как вы передаёте результаты?

Отчёт направляется в формате PDF через защищённый канал связи (email с шифрованием или по согласованию — иной способ).

Как вы защищаете наши данные?

Вся информация передаётся в рамках соглашения о неразглашении (NDA L1). Штраф за разглашение — от 500 000 до 2 000 000 рублей.

Нужно ли подписывать NDA до начала работ?

Да. NDA подписывается одновременно с договором. Это стандартная практика для услуг в области информационной безопасности.

Что входит в отчёт?

Карта выявленных уязвимостей, оценка рисков (высокие, средние, низкие), рекомендации по устранению с приоритетами (1 неделя, 1 месяц, 1 квартал), приложение со скриншотами и примерами.

Можете ли вы показать пример отчёта?

Да. Пример отчёта (обезличенный, без указания контрагента) доступен для скачивания на нашем сайте.

Есть ли у вас опыт в нашей сфере?

Мы провели аудит для финтех-компании (название по NDA). Пример отчёта доступен на сайте.

Чем вы отличаетесь от других аудиторов?

Оплата только при обнаружении критических проблем. Доступ к исходному коду не требуется. Работаем только с публичными интерфейсами.

Что если у нас уже есть свой ИБ-отдел?

Внешний аудит дополняет работу внутреннего отдела. Собственные сотрудники могут пропускать неочевидные уязвимости из-за привыкания к системе.

Можете ли вы подписать NDA со своей стороны?

Да. NDA L1 подписывается обеими сторонами до начала работ.

Как начать?

Ответьте на это письмо или направьте запрос на astralinteractive.ai@outlook.com. Мы пришлём NDA и договор. После подписания назначим вводную встречу (15 минут) и начнём аудит.

ГОТОВЫ К АУДИТУ?

Проведём экспресс-аудит вашей инфраструктуры. Оплата только при обнаружении критических уязвимостей.

ЗАКАЗАТЬ АУДИТ

Заполните форму — будет сформировано письмо для отправки

✓ Письмо сформировано. Откроется почтовый клиент.

УСЛОВИЯ РАБОТЫ

Мы предоставляем 5 услуг по разным направлениям

АУДИТ БЕЗОПАСНОСТИ

Экспресс-аудит — это анализ архитектуры подтверждения транзакций, проводимый без доступа к исходному коду и внутренним системам заказчика.

к оплате — $1500

ОЦЕНКА РИСКОВ

— Оплата только при обнаружении проблем. Если критических уязвимостей нет — вы ничего не платите.
— Вся информация защищена соглашением о неразглашении (NDA). Данные не передаются третьим лицам.

ПОДРОБНЕЕ

РЕЗУЛЬТАТ

Вы получите документ, который можно использовать для внутренней проверки или передачи партнёрам. Конкретные шаги по устранению проблем — в приоритете.

ПОДРОБНЕЕ

PROCESS

Процесс реализации аудита инфраструктуры.

P1

Подписание договора и NDA — 2–3 day

P2

Вводная встреча (15 минут) — 2 day

P3

Анализ публичных интерфейсов — 2 day

P4

Моделирование группы атак — 3 day

P5

Подготовка/передача отчёта — 3 day

P6

Оплата — 3 day

Пунктирная вспышка · Неоновая пирамида

Остались вопросы?

Через минуту вам напишет менеджер и поможет ответить вам на вопросы.

Класс риска	ID	Описание	Вероятность	Влияние	Меры митигации
Операционный	R-01	Задержка подписания документов со стороны Заказчика	Средняя	Среднее	Срок оказания услуг исчисляется с даты подписания Сторонами Договора. Напоминание направляется через 3 рабочих дня.
Операционный	R-02	Отсутствие доступа к публичным интерфейсам	Низкая	Высокое	Объём доступа фиксируется в Техническом задании (SOW). Без доступа услуги не оказываются.
Технический	R-03	Отсутствие критических уязвимостей по итогам аудита	Средняя	Низкое	Модель оплаты «Success Fee»: оплата только при обнаружении критических проблем. Результат — подтверждение защищённости.
Юридический	R-04	Неподписание Акта выполненных работ	Низкая	Среднее	Договором предусмотрено: если Акт не подписан и мотивированный отказ не получен в течение 5 рабочих дней — услуги считаются принятыми.
Финансовый	R-05	Задержка оплаты после подписания Акта	Низкая	Низкое	Неустойка: 0,1% от суммы за каждый день просрочки, но не более 10% от стоимости услуг.
Репутационный	R-06	Разглашение конфиденциальной информации	Низкая	Критическое	NDA L1. Штраф: 500 000 руб. (без цели извлечения выгоды) или 2 000 000 руб. (с целью извлечения выгоды).

Компонент	Идентификатор	Метод проверки
SMS-канал	`CHK-SMS-01`	Подмена отправителя, TTL, привязка к сессии
Push-уведомления	`CHK-PUSH-01`	Подпись, привязка к устройству, подделка
API-эндпоинты	`CHK-API-01`	Rate limiting, CORS, логирование
Webhook / Callback	`CHK-WEB-01`	Проверка IP, подпись, replay-атаки
Логика подтверждения	`CHK-LOGIC-01`	Количество каналов, fallback, защита от инсайдера

Параметр	Значение
Стоимость	1 500 USD
Валюта	Доллар США (оплата в рублях по курсу ЦБ)
Условие оплаты	Постоплата. Оплата только при обнаружении критических проблем.
Срок оказания	Не более 10 (десяти) рабочих дней с даты подписания Договора.
Конфиденциальность	NDA L1 (штраф за разглашение: 500 000 – 2 000 000 руб.)

Этап	Действие	Длительность
1	Подписание Договора и NDA	1 день
2	Вводная встреча (15 минут)	1 день
3	Проведение аудита	3–5 дней
4	Подготовка и передача отчёта	2–3 дня

Раздел	Содержание
Карта уязвимостей	Таблица с описанием выявленных проблем
Оценка рисков	Высокие / средние / низкие (с обоснованием)
Рекомендации	Приоритеты: 1 неделя, 1 месяц, 1 квартал
Приложение	Скриншоты, примеры (без идентифицирующих данных)

Канал	Значение
Email	astralinteractive.ai@outlook.com
Сайт	astralinteractive.tech/audit

Параметр	Значение
Исполнитель	ИП Кривых Артём Иванович
ИНН	231140496642
ОГРНИП	326237500005388

Параметр	Значение
Тип организации	Финтех-компания
Проверяемые интерфейсы	Публичные (сайт, API, мобильное приложение)
Методология	PTES, OWASP Testing Guide v4
Уровень доступа	Аккаунт пользователя с базовой верификацией

ID	Компонент	Описание	Критичность
`V-01`	SMS-канал	Отсутствует ограничение на количество запросов кода	Высокая
`V-02`	SMS-канал	TTL кода составляет 10+ минут	Средняя
`V-03`	API	В ответе API при неудачной попытке передаётся сообщение «неверный код» вместо «ошибка»	Средняя
`V-04`	API	Отсутствует CAPTCHA перед отправкой SMS	Низкая
`V-05`	Инфраструктура	Заголовок`Server`раскрывает версию nginx	Низкая

ЭКСПРЕСС — АУДИТ БЕЗОПАСНОСТИ

ЧТО ПРОВЕРЯЕМ

ПОЧЕМУ ITG

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

ЗАКАЗАТЬ АУДИТ

УСЛОВИЯ РАБОТЫ

АУДИТ БЕЗОПАСНОСТИ

к оплате — $1500

ОЦЕНКА РИСКОВ

ПОДРОБНЕЕ

РЕЗУЛЬТАТ

ПОДРОБНЕЕ

PROCESS

Процесс реализации аудита инфраструктуры.

P1

P2

P3

P4

P5

P6

Остались вопросы?

УПРАВЛЕНИЕРИСКАМИ

КЛЮЧЕВЫЕ ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ

КЛЮЧЕВЫЕ РИСКИ (КРАТКО)

НОРМАТИВНАЯ БАЗА

ЗАПРОС АУДИТА

ДОКУМЕНТЫ ITG

ДОКУМЕНТЫ ДЛЯ ОЗНАКОМЛЕНИЯ

CP-ITG-2026-001 // ТИПОВОЕ КОММЕРЧЕСКОЕ ПРЕДЛОЖЕНИЕ

1. ОБЪЕКТ ПРЕДЛОЖЕНИЯ

2. ОБЛАСТЬ ПРОВЕРКИ

3. УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ

4. ПРОЦЕСС ОКАЗАНИЯ УСЛУГИ

5. РЕЗУЛЬТАТЫ

6. КОНТАКТЫ

7. РЕКВИЗИТЫ

RPT-ITG-2026-001 // ПРИМЕР ОТЧЁТА (ОБЕЗЛИЧЕННЫЙ)

1. ОБЪЕКТ ПРОВЕРКИ

2. ОБЪЁМ ПРОВЕРКИ

3. ВЫЯВЛЕННЫЕ «ЗВОНОЧКИ»

4. ОЦЕНКА РИСКОВ

5. РЕКОМЕНДАЦИИ

6. ЗАКЛЮЧЕНИЕ

7. ГРАНИЦЫ ПРОВЕРКИ

ЗАКАЗАТЬ АУДИТ

УПРАВЛЕНИЕ
РИСКАМИ