Программа анализа уязвимостей SolidPoint DAST:
находит больше, ошибается реже
Программа анализа уязвимостей SolidPoint DAST проверяет веб-приложения, API и сеть на наличие уязвимостей по актуальным базам — CVE и Банку данных угроз (БДУ) ФСТЭК России. Интеллектуальная валидация снижает число ложноположительных срабатываний, а анализ клиентского JavaScript помогает находить больше точек входа, чем классические сканеры. Программа доступна как облачный сервис и для установки во внутреннюю инфраструктуру, управляется через CLI и API и легко встраивается в процессы разработки.
Что такое программа анализа уязвимостей
Программа анализа уязвимостей — это программное обеспечение, которое автоматически проверяет приложения, серверы и узлы сети на наличие уязвимостей. Такие программы сопоставляют обнаруженные компоненты с базами известных уязвимостей и помогают находить слабые места до того, как ими воспользуются злоумышленники.
SolidPoint DAST — это программа для анализа уязвимостей веб-приложений, API и инфраструктуры. Программа сочетает автоматический поиск уязвимостей с интеллектуальной валидацией находок, что снижает число ложноположительных срабатываний. За счёт статико-динамического анализа клиентского JavaScript программа обнаруживает больше точек входа и работает по актуальным базам, включая CVE и Банк данных угроз (БДУ) ФСТЭК России. Подробнее о связанных инструментах — на странице сканера уязвимостей и инструмента для анализа уязвимостей.
Программа как продукт
Программа анализа уязвимостей — это самостоятельный программный продукт, который встраивается в инфраструктуру и процессы заказчика и работает автоматически.
Меньше ложных срабатываний
Интеллектуальная валидация находок снижает число ложноположительных результатов, поэтому программа экономит время специалистов на проверке.
Актуальные базы уязвимостей
Анализ опирается на регулярно обновляемые базы — CVE, CVSS и Банк данных угроз (БДУ) ФСТЭК России.
Интеграция в процессы
Программа для поиска уязвимостей встраивается в CI/CD через CLI и API и поддерживает непрерывный анализ уязвимостей.
Возможности программы анализа уязвимостей
Программа охватывает приложения, API и сеть — состав проверок зависит от объекта и целей анализа. Анализ уязвимостей покрывает как код приложений, так и инфраструктуру.
Веб-приложения и API
Программа выполняет анализ уязвимостей веб-приложений и API по OWASP Top 10: инъекции, XSS, обходы аутентификации и авторизации, небезопасные конфигурации.
Сеть и инфраструктура
Поиск уязвимостей сети и инфраструктуры: открытые порты, доступные сервисы, устаревшие версии ПО и ошибки конфигурации сетевых узлов.
Серверы и операционные системы
Программа проверяет серверы и ОС на наличие уязвимостей и отсутствующих обновлений безопасности.
Анализ клиентского JavaScript
Статико-динамический анализ клиентского кода позволяет программе обнаруживать больше конечных точек и скрытых входных данных, чем классические сканеры.
Как работает программа анализа уязвимостей
Анализ уязвимостей проходит по структурированному конвейеру — от инвентаризации активов до отчёта с приоритизацией.
Инвентаризация активов
Программа обнаруживает узлы сети, приложения и сервисы, определяет операционные системы, версии ПО и открытые порты.
Сбор информации
Сканирование портов (TCP/UDP), идентификация сервисов и их версий — основа для дальнейшего анализа уязвимостей.
Сопоставление с базами
Обнаруженные компоненты сверяются с базами известных уязвимостей — CVE, NVD и Банком данных угроз (БДУ) ФСТЭК России.
Проверки на наличие уязвимостей
Безопасные проверки и активный анализ уязвимостей, включая характерные для веб-приложений инъекции и XSS.
Валидация и приоритизация
Интеллектуальная валидация отсеивает ложноположительные срабатывания, а каждая уязвимость оценивается по CVSS.
Отчёт
Формирование отчёта с перечнем уязвимостей, оценкой критичности и рекомендациями по устранению.
Форматы поставки программы
Программа анализа уязвимостей гибко встраивается в инфраструктуру и процессы — от облачного сервиса до установки во внутреннюю сеть и непрерывного сканирования.
Облачный сервис
Программа анализа уязвимостей доступна как облачный сервис — без развёртывания инфраструктуры на стороне заказчика.
Локальная установка (on-premises)
Программу можно установить во внутреннюю инфраструктуру заказчика — под его полным контролем, без передачи данных наружу.
CLI и API
Программа управляется через CLI и API и встраивается в конвейеры CI/CD, чтобы выявлять уязвимости до релиза.
Непрерывное сканирование
Запуск анализа уязвимостей по расписанию или непрерывно, с автоматической отправкой отчётов.
Базы уязвимостей и методики
Качество анализа уязвимостей напрямую зависит от полноты и актуальности баз, с которыми сверяется программа.
CVE, CWE и CVSS
Реестры и системы оценки, на которые опирается анализ уязвимостей.
- CVE и NVD — реестры известных уязвимостей;
- CWE — классификация типов недостатков;
- CVSS — оценка критичности уязвимостей.
Российские базы
Учёт актуальных для российских систем уязвимостей.
- Банк данных угроз (БДУ) ФСТЭК России;
- Регулярное обновление базы уязвимостей;
- Соответствие требованиям регулятора.
Методики OWASP
Проверки для веб-приложений и API.
- OWASP Top 10 и OWASP API Security Top 10;
- OWASP Web Security Testing Guide (WSTG);
- Покрытие основных классов веб-уязвимостей.
Что вы получаете по итогам анализа
По результатам анализа уязвимостей программа формирует отчёт с перечнем найденных уязвимостей, оценкой критичности и рекомендациями по устранению.
Перечень уязвимостей
Полный список найденных уязвимостей с описанием, классификацией (CVE/CWE) и оценкой критичности по CVSS.
Рекомендации по устранению
Конкретные инструкции и ссылки на источники для устранения каждой уязвимости.
Сравнение и динамика
Сравнение результатов анализа между прогонами программы и отслеживание устранения уязвимостей во времени.
Почему SolidPoint
Наша группа компаний более 10 лет на рынке информационной безопасности. Команда ведёт исследования на факультете ВМК МГУ, результаты представлены на ведущих конференциях — OWASP AppSec, DEF CON, Black Hat, Hack in the Box, Positive Hack Days, OffZone, ZeroNights.
Исследовательская экспертиза
Основатели и ключевые сотрудники — исследователи безопасности с докладами на ведущих конференциях. Технологии сканирования представлены на WASP at ESORICS 2023.
Подтверждённые результаты
20+ опубликованных CVE в продуктах Apple, Google Chrome, VMware vCenter, MySQL2. Более 100 принятых отчётов в программах Bug Bounty.
Собственный сканер
SolidPoint DAST — собственный сканер уязвимостей с интеллектуальной валидацией находок и расширенным обнаружением точек входа.
Опыт с 2011 года
Команда SolidLab проводит анализ защищённости и тестирование на проникновение самых сложных систем с 2011 года.
Конфиденциальность
Перед началом работ подписывается NDA. Строгое соблюдение соглашения и безопасное удаление информации по завершении проекта.
Признание индустрии
Благодарности от Alibaba, Amazon, Apple, Google, IBM, PlayStation, Mail.ru за ответственное раскрытие уязвимостей.
Критические уязвимости, выявленные нашей командой
Apple
CVE-2025-24192
Google Chrome
CVE-2023-5480 · CVE-2024-10229 · CVE-2025-4664
VMware vCenter Server
VMSA-2021-0020 · VMSA-2022-0004
Jenkins
CVE-2019-1003029 · CVE-2019-1003030
MySQL2 для Node.js
CVE-2024-21507 · CVE-2024-21508 · CVE-2024-21509
SheetJS
CVE-2023-30533
Вопросы и ответы о программе анализа уязвимостей
Что такое программа анализа уязвимостей?
Это программное обеспечение, которое автоматически проверяет приложения, серверы и сеть на наличие уязвимостей и сопоставляет найденные компоненты с базами известных уязвимостей. SolidPoint DAST — такая программа для анализа уязвимостей веб-приложений, API и инфраструктуры.
Чем программа анализа уязвимостей отличается от теста на проникновение?
Программа автоматически и быстро находит известные уязвимости, но не эксплуатирует их и не находит логические ошибки бизнес-логики. Тестирование на проникновение — это ручная имитация атаки, которая подтверждает реальный риск. Их часто применяют вместе.
По каким базам работает программа?
Анализ опирается на CVE, CWE и CVSS, базу NVD и Банк данных угроз (БДУ) ФСТЭК России. Базы регулярно обновляются.
Можно ли установить программу во внутреннюю сеть?
Да. Программа доступна как облачный сервис и как решение для установки во внутреннюю инфраструктуру (on-premises) — под полным контролем заказчика.
Можно ли встроить программу в CI/CD?
Да. Программа управляется через CLI и API и встраивается в конвейеры разработки, чтобы выявлять уязвимости до релиза.
Что делать с ложноположительными срабатываниями?
SolidPoint DAST применяет интеллектуальную валидацию находок, что снижает число ложноположительных результатов. При необходимости наши эксперты помогают с разбором результатов анализа.
Как часто запускать анализ уязвимостей?
Рекомендуется регулярный или непрерывный анализ уязвимостей, а также внеплановый — после значимых изменений в приложениях или сети.
Попробуйте программу анализа уязвимостей SolidPoint DAST
Напишите нам, чтобы обсудить анализ уязвимостей ваших приложений и сети. Мы поможем выбрать формат поставки программы и развёртывания под вашу задачу.