Программа анализа уязвимостей SolidPoint DAST:
находит больше, ошибается реже

Программа анализа уязвимостей SolidPoint DAST проверяет веб-приложения, API и сеть на наличие уязвимостей по актуальным базам — CVE и Банку данных угроз (БДУ) ФСТЭК России. Интеллектуальная валидация снижает число ложноположительных срабатываний, а анализ клиентского JavaScript помогает находить больше точек входа, чем классические сканеры. Программа доступна как облачный сервис и для установки во внутреннюю инфраструктуру, управляется через CLI и API и легко встраивается в процессы разработки.

Что такое программа анализа уязвимостей

Программа анализа уязвимостей — это программное обеспечение, которое автоматически проверяет приложения, серверы и узлы сети на наличие уязвимостей. Такие программы сопоставляют обнаруженные компоненты с базами известных уязвимостей и помогают находить слабые места до того, как ими воспользуются злоумышленники.

SolidPoint DAST — это программа для анализа уязвимостей веб-приложений, API и инфраструктуры. Программа сочетает автоматический поиск уязвимостей с интеллектуальной валидацией находок, что снижает число ложноположительных срабатываний. За счёт статико-динамического анализа клиентского JavaScript программа обнаруживает больше точек входа и работает по актуальным базам, включая CVE и Банк данных угроз (БДУ) ФСТЭК России. Подробнее о связанных инструментах — на странице сканера уязвимостей и инструмента для анализа уязвимостей.

Программа как продукт

Программа анализа уязвимостей — это самостоятельный программный продукт, который встраивается в инфраструктуру и процессы заказчика и работает автоматически.

Меньше ложных срабатываний

Интеллектуальная валидация находок снижает число ложноположительных результатов, поэтому программа экономит время специалистов на проверке.

Актуальные базы уязвимостей

Анализ опирается на регулярно обновляемые базы — CVE, CVSS и Банк данных угроз (БДУ) ФСТЭК России.

Интеграция в процессы

Программа для поиска уязвимостей встраивается в CI/CD через CLI и API и поддерживает непрерывный анализ уязвимостей.

Возможности программы анализа уязвимостей

Программа охватывает приложения, API и сеть — состав проверок зависит от объекта и целей анализа. Анализ уязвимостей покрывает как код приложений, так и инфраструктуру.

Web · API

Веб-приложения и API

Программа выполняет анализ уязвимостей веб-приложений и API по OWASP Top 10: инъекции, XSS, обходы аутентификации и авторизации, небезопасные конфигурации.

Сеть

Сеть и инфраструктура

Поиск уязвимостей сети и инфраструктуры: открытые порты, доступные сервисы, устаревшие версии ПО и ошибки конфигурации сетевых узлов.

Серверы · ОС

Серверы и операционные системы

Программа проверяет серверы и ОС на наличие уязвимостей и отсутствующих обновлений безопасности.

JavaScript

Анализ клиентского JavaScript

Статико-динамический анализ клиентского кода позволяет программе обнаруживать больше конечных точек и скрытых входных данных, чем классические сканеры.

Как работает программа анализа уязвимостей

Анализ уязвимостей проходит по структурированному конвейеру — от инвентаризации активов до отчёта с приоритизацией.

1

Инвентаризация активов

Программа обнаруживает узлы сети, приложения и сервисы, определяет операционные системы, версии ПО и открытые порты.

2

Сбор информации

Сканирование портов (TCP/UDP), идентификация сервисов и их версий — основа для дальнейшего анализа уязвимостей.

3

Сопоставление с базами

Обнаруженные компоненты сверяются с базами известных уязвимостей — CVE, NVD и Банком данных угроз (БДУ) ФСТЭК России.

4

Проверки на наличие уязвимостей

Безопасные проверки и активный анализ уязвимостей, включая характерные для веб-приложений инъекции и XSS.

5

Валидация и приоритизация

Интеллектуальная валидация отсеивает ложноположительные срабатывания, а каждая уязвимость оценивается по CVSS.

6

Отчёт

Формирование отчёта с перечнем уязвимостей, оценкой критичности и рекомендациями по устранению.

Форматы поставки программы

Программа анализа уязвимостей гибко встраивается в инфраструктуру и процессы — от облачного сервиса до установки во внутреннюю сеть и непрерывного сканирования.

Облачный сервис

Программа анализа уязвимостей доступна как облачный сервис — без развёртывания инфраструктуры на стороне заказчика.

Локальная установка (on-premises)

Программу можно установить во внутреннюю инфраструктуру заказчика — под его полным контролем, без передачи данных наружу.

CLI и API

Программа управляется через CLI и API и встраивается в конвейеры CI/CD, чтобы выявлять уязвимости до релиза.

Непрерывное сканирование

Запуск анализа уязвимостей по расписанию или непрерывно, с автоматической отправкой отчётов.

Базы уязвимостей и методики

Качество анализа уязвимостей напрямую зависит от полноты и актуальности баз, с которыми сверяется программа.

Международные

CVE, CWE и CVSS

Реестры и системы оценки, на которые опирается анализ уязвимостей.

  • CVE и NVD — реестры известных уязвимостей;
  • CWE — классификация типов недостатков;
  • CVSS — оценка критичности уязвимостей.
БДУ ФСТЭК

Российские базы

Учёт актуальных для российских систем уязвимостей.

  • Банк данных угроз (БДУ) ФСТЭК России;
  • Регулярное обновление базы уязвимостей;
  • Соответствие требованиям регулятора.
OWASP

Методики OWASP

Проверки для веб-приложений и API.

  • OWASP Top 10 и OWASP API Security Top 10;
  • OWASP Web Security Testing Guide (WSTG);
  • Покрытие основных классов веб-уязвимостей.

Что вы получаете по итогам анализа

По результатам анализа уязвимостей программа формирует отчёт с перечнем найденных уязвимостей, оценкой критичности и рекомендациями по устранению.

Перечень уязвимостей

Полный список найденных уязвимостей с описанием, классификацией (CVE/CWE) и оценкой критичности по CVSS.

Рекомендации по устранению

Конкретные инструкции и ссылки на источники для устранения каждой уязвимости.

Сравнение и динамика

Сравнение результатов анализа между прогонами программы и отслеживание устранения уязвимостей во времени.

Отчёты для руководства (резюме) и технические отчёты для аудиторов и специалистов по безопасности
Экспорт и интеграция с процессами управления уязвимостями
Снижение количества ложноположительных срабатываний благодаря интеллектуальной валидации

Почему SolidPoint

Наша группа компаний более 10 лет на рынке информационной безопасности. Команда ведёт исследования на факультете ВМК МГУ, результаты представлены на ведущих конференциях — OWASP AppSec, DEF CON, Black Hat, Hack in the Box, Positive Hack Days, OffZone, ZeroNights.

Исследовательская экспертиза

Основатели и ключевые сотрудники — исследователи безопасности с докладами на ведущих конференциях. Технологии сканирования представлены на WASP at ESORICS 2023.

Подтверждённые результаты

20+ опубликованных CVE в продуктах Apple, Google Chrome, VMware vCenter, MySQL2. Более 100 принятых отчётов в программах Bug Bounty.

Собственный сканер

SolidPoint DAST — собственный сканер уязвимостей с интеллектуальной валидацией находок и расширенным обнаружением точек входа.

Опыт с 2011 года

Команда SolidLab проводит анализ защищённости и тестирование на проникновение самых сложных систем с 2011 года.

Конфиденциальность

Перед началом работ подписывается NDA. Строгое соблюдение соглашения и безопасное удаление информации по завершении проекта.

Признание индустрии

Благодарности от Alibaba, Amazon, Apple, Google, IBM, PlayStation, Mail.ru за ответственное раскрытие уязвимостей.

Критические уязвимости, выявленные нашей командой

Apple

CVE-2025-24192

Google Chrome

CVE-2023-5480 · CVE-2024-10229 · CVE-2025-4664

VMware vCenter Server

VMSA-2021-0020 · VMSA-2022-0004

Jenkins

CVE-2019-1003029 · CVE-2019-1003030

MySQL2 для Node.js

CVE-2024-21507 · CVE-2024-21508 · CVE-2024-21509

SheetJS

CVE-2023-30533

Вопросы и ответы о программе анализа уязвимостей

Что такое программа анализа уязвимостей?

Это программное обеспечение, которое автоматически проверяет приложения, серверы и сеть на наличие уязвимостей и сопоставляет найденные компоненты с базами известных уязвимостей. SolidPoint DAST — такая программа для анализа уязвимостей веб-приложений, API и инфраструктуры.

Чем программа анализа уязвимостей отличается от теста на проникновение?

Программа автоматически и быстро находит известные уязвимости, но не эксплуатирует их и не находит логические ошибки бизнес-логики. Тестирование на проникновение — это ручная имитация атаки, которая подтверждает реальный риск. Их часто применяют вместе.

По каким базам работает программа?

Анализ опирается на CVE, CWE и CVSS, базу NVD и Банк данных угроз (БДУ) ФСТЭК России. Базы регулярно обновляются.

Можно ли установить программу во внутреннюю сеть?

Да. Программа доступна как облачный сервис и как решение для установки во внутреннюю инфраструктуру (on-premises) — под полным контролем заказчика.

Можно ли встроить программу в CI/CD?

Да. Программа управляется через CLI и API и встраивается в конвейеры разработки, чтобы выявлять уязвимости до релиза.

Что делать с ложноположительными срабатываниями?

SolidPoint DAST применяет интеллектуальную валидацию находок, что снижает число ложноположительных результатов. При необходимости наши эксперты помогают с разбором результатов анализа.

Как часто запускать анализ уязвимостей?

Рекомендуется регулярный или непрерывный анализ уязвимостей, а также внеплановый — после значимых изменений в приложениях или сети.

Попробуйте программу анализа уязвимостей SolidPoint DAST

Напишите нам, чтобы обсудить анализ уязвимостей ваших приложений и сети. Мы поможем выбрать формат поставки программы и развёртывания под вашу задачу.